SlideShare une entreprise Scribd logo
GTAG
Documents de référence
Présentation des guides GTAG pouvant être
utilisés par un auditeur interne lors de mandats
d’audit TI
Présentateurs « un pour tous, tous pour un »
Athos

Aramis

Porthos

Francis LeBlanc-Gervais

Gilles Savard

Olivier Legault

CPA, CA, CISA
Directeur

CPA, CA, CA-TI, PMP, CISA, ITIL
Directeur principal

CPA, CGA, CISA
Directeur
2
GTAG – Pourquoi cette présentation?
• D’après notre expérience, ils sont peu connus et peu utilisés dans la
pratique.
• Il y a un questionnement. Quelle est la différence entre les cadres de
référence et les GTAG?
• Comment pouvons-nous utiliser les GTAG?
• Sont-ils des outils de formation intéressants?
• Y a-t-il des programmes d’audit intégrés dans les GTAG?

3
GTAG
Origine
• GTAG : Global Technology Audit Guides (Guides pratiques d’audit
des TI)
• Guides développés à la demande du président de l’IIA, David A.
Richards en 2005
• Guides développés par des gens en provenance de divers milieux
(industries, universités, firmes comptables)
• Orienté principalement vers le personnel de gestion et les auditeurs
internes, et non vers le personnel « technique »
• Le premier guide appelé « Les contrôles des systèmes d’information »
a été publié en mars 2005
• Le dernier guide appelé « Gouvernance TI » a été publié en 2012
4
GTAG – Objectif visé
• Élaborés par l’IIA, chaque guide traite d’un thème qui a trait à la
gestion, au contrôle et à la sécurité des systèmes d’information.
• Cette série de guides constitue un outil pour le gestionnaire et
l’auditeur interne qui peuvent ainsi s’informer sur les différents
risques liés à la technologie et sur les pratiques recommandées.
• Expliquer les contrôles TI et la vérification de ces contrôles pour
permettre au gestionnaire et à l’auditeur interne de comprendre et de
communiquer la nécessité d’un environnement de contrôle TI robuste
au sein de leur organisation.

5
GTAG

6
GTAG – 17 guides (#6 enlevé)
• Contrôles des systèmes de l'information (GTAG1) – Anglais seulement
• Contrôles de la gestion du changement et des patchs : un facteur clé de
la réussite pour toute organisation (GTAG2)
• Audit continu : Répercussions sur l'assurance, le pilotage et
l'évaluation des risques (GTAG3)
• Management de l'audit des systèmes d'information (GTAG4)
• Management et audit des risques d'atteinte à la vie privée (GTAG5)
• Gestion et audit des vulnérabilités des technologies de l'information
(GTAG6)
• Infogérance (GTAG7)
• Audit des contrôles applicatifs (GTAG8)

7
GTAG – 17 guides
•
•
•
•
•
•

Identité et gestion des accès (GTAG9)
Gestion du plan de continuité des affaires (GTAG10)
Développement d’un plan d’audit (GTAG11)
Audit des projets TI (GTAG12)
Prévention de la fraude et détection (GTAG13)
Audit des applications utilisées par les utilisateurs (Excel, Access, etc.)
(GTAG14) – Anglais seulement
• Gouvernance de la sécurité TI (GTAG15) – Anglais seulement
• Analyse des données – Extraction (GTAG16) – Anglais seulement
• Audit de la gouvernance TI (GTAG17) – Anglais seulement

8
GTAG1
Risques et contrôles
(36 pages)

9
GTAG1 – Objectifs
Risques et contrôles

• Aider les auditeurs internes à devenir plus confortables avec les
contrôles généraux TI afin qu’ils puissent aborder ces questions avec la
haute direction.
• Décrit comment les différents intervenants impliqués par la pratique
d’audit interne (CA, gestion, personnel, professionnels) doivent
aborder et évaluer les risques et les contrôles TI.
• De plus, il met les bases des GTAG à venir, qui seront consacrés à des
sujets plus précis et présenteront les fonctions et responsabilités
correspondantes dans l’entreprise avec plus de détails.
• Ce guide est la seconde édition. Le premier était davantage orienté sur
les contrôles TI et avait été publié en mars 2005.

10
GTAG1 – Introduction
Risques et contrôles

• Plusieurs risques et menaces importants sont en lien avec les TI. Les
risques les plus importants viennent de l’interne et non de l’externe.
De bon contrôles TI diminuent la probabilité qu’un risque ou une
menace se concrétise.
• Plusieurs cadres de référence existent pour catégoriser les objectifs et
contrôles TI. Ce guide recommande que chaque organisation utilise les
composantes provenant des différents cadres de références existants
(COSO, ITIL, CobiT, etc.) qui sont applicables pour eux.
• Un gestionnaire d’audit interne peut utiliser ce guide comme une
fondation pour évaluer les risques et contrôles TI et la conformité.

11
GTAG1 – Risques
Risques et contrôles

• Pour un dirigeant d’audit interne, il est impératif de bien jauger
l’appétence et la tolérance aux risques du CA.
• Un dirigeant d’audit interne doit considérer si l’environnement TI est
en ligne avec l’appétence aux risques du CA.
• Un dirigeant d’audit interne doit considérer si le cadre de contrôle
interne des TI assure que les performances de l’organisation demeurent
à l’intérieur de la tolérance aux risques établie.
Appétence au risque : Degré de risque que la direction d’une organisation est
prête à accepter dans la poursuite de ses objectifs.
Tolérance au risque : Le dirigeant de l’audit interne doit définir le niveau
acceptable de variation du risque pour l’atteinte des objectifs. Il est important
d’aligner la tolérance au risque avec l’appétence au risque.
12
GTAG1 – Structure de l’audit
Risques et contrôles

Lorsque les responsables de l’audit interne
examinent et évaluent les contrôles des TI, ils
doivent se poser plusieurs questions :
• Que signifient pour nous les contrôles des
SI?
• Pourquoi avons-nous besoin des contrôles
des SI?
• Qui est responsable des contrôles des SI?
• Quand convient-il d’appliquer les contrôles
des SI?
• Où précisément faut-il mettre en place les
contrôles des SI?
• Comment procéder à des évaluations des
contrôles des SI?

« J’ai à mon service six honnêtes
domestiques. »
(Ils m’ont appris tout ce que je sais.)
Ils s’appellent Quoi et Pourquoi,
Quand et Comment, et Où et Qui. »
— Rudyard Kipling,
Tiré de « Elephant’s Child »
dans « Just So Stories »

13
GTAG1 – Structure de l’audit
Risques et contrôles

Que signifient pour nous les contrôles
des SI?

Pourquoi avons-nous besoin des
contrôles des SI?
Qui est responsable des contrôles des
SI?
1. Quand convient-il d’appliquer les
contrôles des SI?
2. Où précisément faut-il mettre en
place les contrôles des SI?
Comment procéder à des évaluations
des contrôles des SI?
14
GTAG1 – Classification des contrôles
Risques et contrôles

15
Questions – 1 minute
Risques et contrôles

16
GTAG11
Élaboration d’un plan d’audit
des TI
(40 pages)

17
GTAG11 – Objectifs
Élaboration d’un plan d’audit des TI

• Le présent GTAG peut aider les responsables de l’audit interne et les
auditeurs internes à :
– Prendre en compte l’activité générale de l’entreprise et la part des
TI dans le support opérationnel
– Définir et prendre en compte l’environnement des TI
– Identifier le rôle de l’évaluation des risques dans la délimitation de
l’univers d’audit interne
– Formaliser le plan annuel d’audit des TI

18
GTAG11 – Introduction
Élaboration d’un plan d’audit des TI

• Étant donné que le fonctionnement de l'organisation dépend fortement
des TI, il est en effet essentiel que le responsable de l’audit interne et
les auditeurs internes sachent comment élaborer un plan d’audit et,
pour chaque élément, quelles doivent en être la fréquence, l’étendue
et la profondeur.
• Le responsable de l’audit interne et les auditeurs internes pourront
déterminer les domaines à auditer et la fréquence en se basant sur une
cartographie des processus, l'inventaire et la prise en compte de
l’environnement des TI et l’évaluation des risques à l’échelle de
l’organisation.
• Ce GTAG utilise l’exemple d’une organisation fictive pour montrer
aux responsables de l’audit interne et aux auditeurs internes comment
mettre en œuvre les étapes nécessaires à la délimitation de l’univers
d’audit.
19
GTAG11 – Actualisation du plan d’audit
Élaboration d’un plan d’audit des TI

36%

60 %

20
GTAG11 – Processus d’élaboration
du plan d’audit TI
Élaboration d’un plan d’audit des TI

21
GTAG11 – Évaluer le risque –
Impact et probabilité
Élaboration d’un plan d’audit des TI

22
GTAG11 – Évaluer le risque
Élaboration d’un plan d’audit des TI

23
GTAG11 – Audits visés
Élaboration d’un plan d’audit des TI

Peu de ressources :
Sélectionner des activités
d’audit en fonction du carré
pointillé.
Beaucoup de ressources :
Sélectionner des activités
d’audit en fonction du carré
ligne continu couleur bleu.

24
GTAG11 – Cadres de référence
Élaboration d’un plan d’audit des TI

CobiT V4
• Voir l’annexe 1 du cadre de référence afin d’avoir certains détails

ITIL V3 - Conception des services
• Pas un cadre d’audit

COSO

•

Pas vraiment pertinent pour un plan d’audit TI

ISO 27002
Certaines parties peuvent aider :
• 4 - Appréciation et traitement du risque
• 15 - Conformité
25
Questions – 1 minute
Élaboration d’un plan d’audit des TI

26
GTAG4
Management de l’audit des
systèmes d’information (SI) Management of IT Auditing
(24 pages – Nouvelle version janvier 2013)

27
GTAG4 – Objectifs
Management de l’audit des systèmes d’information (SI)

• Déterminer les domaines nécessitant des ressources en audit des SI
• Évaluer les risques liés aux SI
• Réaliser des travaux d’audit des SI

28
GTAG4 – Introduction
Management de l’audit des systèmes d’information (SI)

Une évaluation annuelle des risques réalisée dans le cadre de
l’élaboration du plan d’audit qui ne couvre pas les risques
informatiques serait considérée comme déficiente (voir les Normes
1210.A3, 1220.A2 et 2110.A2) :
• Un taux important de dispositifs de contrôles internes clés pour
l’organisation sont susceptible de reposer sur un système informatisé
• Les systèmes défectueux risquent de nuire fortement à la réputation

29
GTAG4 – Éléments à considérer
Management de l’audit des systèmes d’information (SI)

• Stratégie « métier », processus et projets
• Infrastructure et processus SI
– Tenir compte de chaque niveau du SI
• Approche fondée sur les risques liés aux SI (Prioriser)
• Univers de l’audit des SI (Optimiser) GTAG #11
• Savoir-faire et compétence (Norme 1210)
• Réaliser des missions d’audit des SI (COSO-COBIT)
• Rapports
• Outils d’audit (Efficacité)

30
GTAG4 – Niveaux des SI
Management de l’audit des systèmes d’information (SI)

Illustration des 4 niveaux

31
GTAG4 –Les risques
Management de l’audit des systèmes d’information (SI)

• Types de risques des SI
– Disponibilité : Le système n’est pas disponible pour utilisation
– Sécurité : Accès non autorisé au système
– Intégrité : Données incomplètes ou inexactes
– Confidentialité : L’information n’est pas conservée secrète
– Efficacité : Le système ne procure pas une fonction voulue ou
attendue
– Efficience : Le système entraîne une utilisation sous-optimale des
ressources
• Natures de risques
– Spécifiques vs pervasifs
– Statiques vs dynamiques

32
GTAG4 – Cadres de référence
Management de l’audit des systèmes d’information (SI)

CobiT V4
• Pas vraiment d’objectif réellement collé à ce GTAG
• L’ensemble du cadre de référence aborde ce GTAG et la gestion de risques

ITIL V3
• ITIL n’est pas un référentiel d’audit

Les cadres de référence Contrôle interne et Management des risques
de l’entreprise
• Pas nécessairement axé sur les TI

ISO 27002
• Pas vraiment de point touchant ce volet
33
Questions – 1 minute
Management de l’audit des systèmes d’information (SI)

34
GTAG3
Audit continu : Répercussions
sur l’assurance, le pilotage et
l’évaluation des risques
(41 pages)

35
GTAG3 – Objectifs
Audit continu

• Connaissances opportunes sur des problèmes critiques
• Automatisation de certains tests
• Processus de révision plus efficace

36
GTAG3 – Introduction
Audit continu

37
GTAG3 – Introduction
Audit continu

38
GTAG3 – Avantages de l’audit continu
Audit continu

• Évaluation à intervalles rapprochés
• Audit permanent de 100 % des transactions
• Compréhension accrue des points critiques, des règles et des
exceptions
• Notification rapide des écarts et des carences
• Facilite la planification de l’audit
• Indépendance vis-à-vis des SI et du pilotage

39
GTAG3 – Inconvénients de l’audit continu
Audit continu

• L’information à auditer doit provenir de systèmes fiables
• Le processus d’audit continu doit être fortement automatisé
• Des rapports d’audit continu compréhensibles et précis doivent être
élaborés et disponibles rapidement
• Les auditeurs doivent posséder les compétences requises pour mener
ce type de mission
• Changement des paradigmes d’audit traditionnels

40
GTAG3 – Phases clés
Audit continu

•
•
•
•

Objectifs de l’audit continu
Accès et utilisation des données
Évaluation continue des contrôles et des risques
Communiquer et gérer les résultats

41
GTAG3 – Exemples d’évaluation de contrôles
Audit continu

Contrôles financiers : Carte de crédit d’entreprise

Pilotage
• Échantillonnage manuel trimestriel

Audit interne
• Pilotage faible et risque élevé
• Examen de la politique et des procédures
• Tests analytiques sur 100 % des transactions
• Trouve des anomalies

42
GTAG3 – Cadres de référence
Audit continu
CobiT V4
• Pas vraiment d’objectif réellement collé à ce GTAG
• La série SE se rapproche le plus de ce GTAG

ITIL V3
• ITIL n’est pas un référentiel d’audit
Cadre de référence (Enterprise Risk Management (ERM) Framework)
• Environnement de contrôle
• Évaluation des risques
• Information et communication
• Pilotage des risques

ISO 27002
• Pas vraiment de point touchant ce volet. La section 15 se rapproche le plus de
ce GTAG
43
Questions – 1 minute
Audit continu

44
GTAG16
Analyse des données
(28 pages)

Juillet 2011

45
GTAG16 – Objectifs
Analyse de données

• Avoir des approches d’audit utilisant les outils d’analyse des données :
– L’analyse des données est significative pour l’organisation
– Meilleure assurance avec les outils d’analyse des données
– Défis et risques d’implantation des outils
– Comment implanter les outils d’analyse
– Reconnaître les tendances et les avantages d’utiliser les outils

46
GTAG16 – Introduction
Analyse de données

• Définition − L’analyse des données permet d’identifier, obtenir,
valider, analyser et interpréter différents types de données à
l’intérieur de l’organisation afin d’améliorer l’efficience d’un audit.
• Efficience − Les outils d’analyse des données sont une partie
intégrante d’un audit TI et permettent d’améliorer l’efficacité et
l’efficience d’un audit.

47
GTAG16 – Les sources
Analyse de données

•
•
•
•
•
•

Des données PDF
Des tableurs
Des fichiers textes
Des données provenant des systèmes d’opération AS/400
Les bases de données, dont Access, et les données en format XML
Des ajouts au logiciel de base permettent d’interroger les applications
SAP
• Les serveurs centraux (mainframe) (travail plus complexe)

L’intégrité des données source est un critère de base essentiel et non négociable.
48
GTAG16 – Comment les outils
peuvent t’aider
Analyse de données
1.

Calcul – Paramètres statistiques (moyennes, déviations, plus hautes et plus basses
valeurs) afin d’identifier des transactions étranges.

2.

Classer – Trouver des tendances ou des associations parmi des groupes de données.

3.

Stratifier – Valeurs numériques afin d’identifier des valeurs non usuelles
(excessivement hautes ou basses).

4.

Loi de Benford’s – Identifier des occurrences statistiquement improbables.

5.

Joindre – Différents types de données sources afin d’identifier des données non
assorties telles que le nom, adresse, etc.

6.

Dupliquer – Identifier des transactions dupliquées telle que paiements, paies, etc.

7.

Écart – Tester une série afin de trouver un bris dans une séquence.

8.

Somme – Additionner des données afin de valider des totaux de contrôles.

9.

Valider – Des dates afin de trouver des éléments suspicieux.

49
GTAG16 – Exemples d’utilisation
Analyse de données

Section

Contrôle

Analyse de données

Paiement

L’application ne permet pas
un doublon de paiement.

Obtenir les paiements.
Valider qu’il n’y a pas de paiement en double
(même vendeur, même montant et même numéro
de fournisseur).

Achat de
marchandises

Les PO vieux de trois mois
et plus ne seront pas traités.

Obtenir la liste des PO produits.
Déterminer si des PO de 3 mois et plus ont été
traités.

Achat de
marchandises

La personne qui crée le PO
n’est pas celle qui
l’approuve.

Obtenir la liste des PO créés.
Obtenir la liste des PO approuvés.
Comparer les deux concernant la séparation des
tâches.

Réception de
biens

Tous les biens reçus sont
validés auprès du PO.

Obtenir la liste des biens reçus et des PO.
Valider que les quantités sont les mêmes.
50
GTAG16 – Cadres de référence
Analyse de données

CobiT V4
• Non pertinent

ITIL V3 - Conception des services
• Non pertinent

COSO
• Non pertinent

ISO 27002
• Non pertinent

51
Questions – 1 minute
Analyse de données

52
GTAG9
Gestion des identités et
des accès
(32 pages)

53
GTAG9 – Objectifs
Gestion des identités et des accès

• Comprendre le rôle de la gestion des identités et des accès pour
l’organisation et suggérer les points à approfondir lors d’un audit
interne.
• Même si de nombreux dirigeants estiment que la gestion des identités
et des accès relève de la direction des systèmes d’informations (DSI),
elle concerne en fait toutes les directions métiers de l’entreprise

54
GTAG9 – Introduction
Gestion des identités et des accès

• Les obligations réglementaires et les pratiques de gestion prudentes ont
conduit les organisations à accroître au maximum le degré de
granularité des droits d’accès.
• Le management doit déterminer avec précision les droits nécessaires
aux utilisateurs au lieu de leur accorder des ressources dont ils n’ont
pas vraiment besoin.

55
GTAG9 – Introduction (suite)
Gestion des identités et des accès

• D’après un rapport prévisionnel récent du groupe de presse
International Data Group (IDG), les dépenses consacrées à la gestion
des identités et des accès et aux systèmes connexes devraient
augmenter rapidement.
– La gestion des identités et des accès devrait donc bientôt figurer au
premier rang des projets informatiques de nombreuses
organisations.
• Dans de nombreuses organisations, la suppression des droits d’accès
utilisateurs ou des droits d’accès associés à une identité numérique
peut prendre jusqu’à trois ou quatre mois, ce qui peut représenter un
risque inacceptable, surtout si l’utilisateur peut encore accéder aux
systèmes et ressources de l’entreprise alors qu’il a été révoqué.
56
GTAG9 – Requête de changements
des droits d’accès
Gestion des identités et des accès

57
GTAG9 – Cadres de référence
Gestion des identités et des accès
CobiT V4
•
•
•
•

PO4.9 Propriété des données et du système
PO6.1 Politique informatique et environnement de contrôle
DS5.3 Gestion des identités
DS5.4 Gestion des comptes utilisateurs

ITIL V3 - Exploitation des services
• Gestion des accès

COSO’s Internal Control over Financial Reporting - Guidance for Smaller
Public Companies
• Activité de contrôles – Principe 14

ISO 27002
• 8 Sécurité liée aux ressources humaines
• 11 Contrôle d’accès

58
Questions – 1 minute
Gestion des identités et des accès

59
GTAG12
Audit des projets informatiques
(46 pages)

60
GTAG12 – Objectif
Audit des projets informatiques

• Ce GTAG a pour objectif d’offrir aux auditeurs internes et à leur
responsable une vue d’ensemble des techniques permettant de
collaborer efficacement avec les équipes de projet et les instances de
pilotage de projet sur l’évaluation des risques liés aux projets TI.
• Le champ de la gestion de projet étant extrêmement vaste, l’objectif de
ce guide est de définir un cadre d’évaluation des risques liés aux
projets, de donner des exemples de risques courants liés à la gestion de
projet et d’étudier comment l’audit interne peut participer activement
à l’examen des projets sans perdre son indépendance.

61
GTAG12 – Objectif
Audit des projets informatiques

Cinq thèmes centraux de l’audit

62
GTAG12 – Introduction
Audit des projets informatiques

• Au sens courant, un projet est un ensemble d'activités, avec un début
et une fin définis, qui est entrepris pour atteindre un objectif donné
dans des contraintes précises de calendrier, de contenu et de
ressources.
• Aujourd’hui, pour déterminer si un projet est un succès, il ne suffit
plus de mesurer si les délais et le budget ont été respectés. Les projets
qui échouent ou qui sont menacés peuvent avoir un impact
considérable sur l'organisation, selon les besoins métiers qui les soustendent.
• C’est à la direction générale qu’il incombe de veiller à ce que le
projet aboutisse et que les résultats attendus soient atteints.

63
GTAG12 – Introduction
Audit des projets informatiques

Étude CHAOS

64
GTAG12 – 10 facteurs de réussite
Audit des projets informatiques

1.

Participation des utilisateurs – Les utilisateurs des directions métiers et des TI participent aux
principaux processus de réalisation d’un consensus, de prise de décision et de collecte
d’informations.

2.

Soutien de la direction générale – Les dirigeants assurent la cohérence avec la stratégie de
l’organisation, ainsi qu’un soutien financier et psychologique et une assistance dans la résolution des
conflits.

3.

Clarté des objectifs de l’organisation – Les partenaires comprennent l’intérêt intrinsèque du projet
et sa cohérence par rapport à la stratégie de l’organisation.

4.

Souplesse de l’optimisation – Le projet emploie des processus itératifs de développement et
d’optimisation pour éviter les éléments inutiles et s’assurer que les éléments essentiels sont bien
intégrés.

5.

Maturité psychologique – Le chef de projet gère les émotions et les actions des partenaires du
projet et évite certaines attitudes (ambition, arrogance, ignorance, abstention et déloyauté).

6.

Connaissance de la gestion de projet – L’organisation fait appel à des chefs de projet qui ont les
compétences et connaissent les pratiques de base, par exemple des chefs de projets titulaires de la
certification PMP (Project Management Professional) du Project Management Institute.

65
GTAG12 – 10 facteurs de réussite
Audit des projets informatiques

7.

Gestion financière – Le chef de projet est capable de gérer les ressources financières, de justifier le
budget ou les dépenses et d’expliquer l’intérêt du projet.

8.

Compétences des ressources – Des personnes compétentes sont recrutées, dirigées, retenues et
contrôlées afin de pouvoir continuer à avancer en cas de problèmes de personnel, notamment de
rotation du personnel.

9.

Formalisation de la méthodologie – Il existe un ensemble prédéfini de techniques basées sur les
processus qui constituent une feuille de route où sont indiqués les événements qui doivent se
produire, quand, comment et dans quel ordre.

10. Outils et infrastructure – L’infrastructure du projet est élaborée et gérée à l’aide d’outils permettant
la gestion des tâches, des ressources, des exigences, des changements, des risques, des fournisseurs,
de l’adhésion des utilisateurs et de la qualité.

66
GTAG12 – Structure d’un projet
Audit des projets informatiques

67
GTAG12 – Cadres de référence
Audit des projets informatiques

CobiT V4
• PO10 - Gérer les projets

ITIL V3 - Conception des services
• Plus orienté gestion des changements que gestion de projets

COSO
• Pas vraiment pertinent pour la gestion de projets

ISO 27002
• Plus orienté opération et sécurité que gestion de projets
• 12 - Acquisition, développement et maintenance des systèmes d’information

68
Questions – 1 minute
Audit des projets informatiques

69
Retour dans 15 minutes

70
GTAG2 (2e édition)
Contrôles de la gestion du
changement et des patchs : Un
facteur clé de réussite pour toute
organisation
(34 pages)

71
GTAG2 – Objectifs
Contrôles de la gestion du changement et des patchs

• Acquérir une connaissance opérationnelle des processus de gestion
des changements informatiques.
• Distinguer rapidement les bons processus de gestion des changements
de ceux qui sont inefficaces.
• Reconnaître rapidement les indicateurs et signaux d’alerte pointant
une défaillance des contrôles liés à la gestion des changements.
• Prendre conscience que l’efficacité de la gestion des changements
repose sur la mise en place de contrôles préventifs, détectifs et
correctifs qui assurent la séparation des fonctions et la supervision
appropriée du management.
• Recommander les meilleures pratiques connues pour remédier aux
défaillances afin de vérifier que les risques sont maîtrisés (et que les
contrôles sont bien effectués) et d’accroître l’efficacité et l’efficience.
72
GTAG2 – Introduction
Contrôles de la gestion du changement et des patchs

• Faire passer plus efficacement vos recommandations auprès de votre
directeur des systèmes d’information, de votre directeur général ou de
votre directeur financier.
• La gestion des changements est l’une des disciplines les plus difficiles
à mettre en œuvre. Elle nécessite une collaboration entre une équipe
pluridisciplinaire composée de développeurs d’application, de
personnel de l’exploitation informatique et d’utilisateurs.
• Posséder une culture de gestion des changements qui empêche et
dissuade de procéder à des changements non autorisés est une
condition essentielle à une gestion efficace des changements.

73
GTAG2 – Introduction
Contrôles de la gestion du changement et des patchs

Bénéfices d’une saine gestion des changements
• Consacrer moins de temps et d’énergie dans les SI pour des
interventions non planifiées.
• Consacrer davantage d’argent et d’énergie dans les SI pour exécuter de
nouvelles tâches et atteindre les objectifs de l’entreprise.
• Connaître moins de périodes d’indisponibilité.
• Être plus focalisé sur les améliorations que sur les réparations en
urgence.
• Concerter les efforts sur les priorités du métier de l’entreprise.
• Motiver le personnel SI (participer à l’amélioration des opérations
plutôt que d’éteindre des feux)
• Satisfaire les besoins des utilisateurs finaux.
74
GTAG2 – Indicateurs d’une mauvaise
gestion des changements
Contrôles de la gestion du changement et des patchs

• Changements non autorisés
• Interruptions de service non prévues
• Faible taux de réussite du changement
• Nombre élevé de changements en urgence
• Retard dans les déploiements de projets

75
GTAG2 – Tâches non planifiées
Contrôles de la gestion du changement et des patchs

La limitation des tâches non planifiées est un indicateur d’un
processus efficace de gestion des changements.

On ne peut évaluer ce que l’on ne mesure pas …
76
GTAG2 – Variables clés influençant les
processus de gestion des changements
Contrôles de la gestion du changement et des patchs

Par le taux de changements, le taux de
réussite du changement, la durée
moyenne de reprise (MMTR)

77
GTAG2 – Cadres de référence
Contrôles de la gestion du changement et des patchs

CobiT V4
• AI 6 Gérer les changements
• AI7 Acquérir et implémenter

ITIL V3
• Transition des services / Gestion des changements

Internal Control over Financial Reporting – Guidance for Smaller Public
Companies
• Gestion des changements

ISO 27002
• 12 Acquisition, développement et maintenance des systèmes d’information
• 12.5.1 Procédures de contrôle des modifications

78
Questions – 1 minute
Contrôles de la gestion du changement et des patchs

79
GTAG14
Auditer les applications
développées par les utilisateurs
(ADU)
(32 pages)

80
GTAG14 – Objectifs
Auditer les applications développées par les utilisateurs (ADU)

• Identifier la disponibilité d’un cadre de contrôle qui comprend une
politique, les procédures, l’inventaire et l’évaluation des risques à
l’égard des applications internes.
• Utiliser le cadre de contrôle défini au point 1 afin de définir la
population des applications internes à être incluses dans l’audit TI.

81
GTAG14 – Objectifs
Auditer les applications développées par les utilisateurs (ADU)

Aider la direction à développer un cadre de contrôle des
applications internes efficient :
• Utiliser des techniques éprouvées afin d’identifier la population des
applications internes.
• Évaluer les risques associés à chaque application interne, basés sur le
potentiel d’impact et la probabilité qu’une occurrence se produise.

82
GTAG14 – Introduction
Auditer les applications développées par les utilisateurs (ADU)

• Définition − Règle générale, ce sont des applications internes comme
des tableurs Excel ou des petites applications comme Access créées et
utilisées par les utilisateurs finaux.
• Bénéfice − La plupart des organisations utilisent ce type d’applications
parce qu’elles sont faciles et moins coûteuses à développer et à
maintenir, en plus de permettre de contourner les contrôles généraux
des TI pour en faciliter et en accélérer l’implantation.
• Risque − Le contournement des contrôles généraux des TI pose un
risque de confidentialité, d’intégrité et de disponibilité des données
extraites, calculées, triées et compilées par ce type d’application.

83
GTAG14 – Les risques
Auditer les applications développées par les utilisateurs (ADU)

• Manque de structure à l’égard du développement, de la gestion des
changements ou de la gestion des versions
• Entreposage et gestion de l’importation des données
• Manque d’expérience de la personne qui développe l’application
• Manque de documentation
• Insuffisance des contrôles touchant l’entrée et la sortie de données
• Tests insuffisants

Est-ce que la personne qui a développé l’application interne a les connaissances et
l’expérience pour gérer les risques liés aux applications internes?
84
GTAG14 – Les bonnes pratiques
Auditer les applications développées par les utilisateurs (ADU)

•
•
•
•
•
•

Contrôles d’accès
Contrôles des données sources
Contrôles des données sortantes (résultats)
Contrôles à l’égard de la gestion des changements
Gestion des archives, sauvegardes et versions
Documentation (politiques, procédures, guides)

Les contrôles à l’égard des applications internes sont très similaires aux contrôles
généraux TI.
85
GTAG14 – Définir le périmètre d’audit
Auditer les applications développées par les utilisateurs (ADU)

• Définir la notion d’ADU clé
• Recenser la population d’ADU
• Établir les facteurs de risques
• Classification au risque des ADU

86
GTAG14 – Définir la stratégie d’audit
Auditer les applications développées par les utilisateurs (ADU)

Deux scénarios
1. Le cadre de contrôle est efficace
– Tester les contrôles
– Effectuer un test d’acheminement

2. Le cadre de contrôle est inefficace
– Recommander la mise en place de contrôles
– Réexécution du traitement
•

Sur base d’échantillon

•

Sur le traitement intégral de l’ADU en procédant par technique d’audit
assisté par ordinateur (TAAO)
87
GTAG14 – Cadres de référence
Auditer les applications développées par les utilisateurs (ADU)
CobiT V4
• PO6.2 Cadre de référence des contrôles et risques informatiques
• AI2.4 Sécurité et disponibilité des applications
• AI2.7 Développement d’applications

ITIL V3 - Conception des services
• Pas un cadre spécifique aux applications internes

COSO
• De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et
52-109

ISO 27002
• 12 Acquisition, développement et maintenance des systèmes d’information
• 11 Contrôles d’accès
• 5 Politique de sécurité

88
Questions – 1 minute
Auditer les applications développées par les utilisateurs (ADU)

89
GTAG8
Audit des contrôles applicatifs
(32 pages)

90
GTAG8 – Objectifs
Contrôles applicatifs

• Informer sur les aspects suivants :
–

Définition et avantages des contrôles applicatifs

–

Rôle des auditeurs internes

–

Exécution d’une évaluation des risques

–

Délimitation de l’étendue de la revue des contrôles applicatifs

–

Approches de la revue des applications et autres considérations

• Comprendre la différence entre les contrôles applicatifs et les
contrôles généraux informatiques (CGTI)

91
GTAG8 – Introduction
Contrôles applicatifs

• Définition des contrôles applicatifs
–

Les données d’entrée sont exactes, complètes, autorisées et correctes.

–

Les données sont traitées conformément aux objectifs et dans un délai
acceptable

–

Les données stockées sont exactes et complètes

–

Les données de sortie sont exactes et complètes.

–

Un enregistrement du processus est conservé.

92
GTAG8 – CGTI versus Contrôles applicatifs
Contrôles applicatifs

• Les CGTI s’appliquent à tous les composants, processus et données
des systèmes d’un organisation.
• Les contrôles applicatifs s’appliquent aux transactions et aux données
relatives à chaque système d’application.
• Les CGTI doivent fonctionner efficacement pour que les contrôles
applicatifs puissent gérer le risque.

93
GTAG8 – Pondération du risque
Contrôles applicatifs

94
GTAG8 – «Évidence
Contrôles applicatifs

On ne peut vérifier ce que l’on ne comprend pas …

Il est essentiel de comprendre les
fonctionnalités et processus entourant
les contrôles applicatifs avant de
commencer l’audit.

95
GTAG8 – Audit des contrôles applicatifs
Contrôles applicatifs

•

Évaluation du risque

•

Détermination de l’étendue de la revue en fonction de la méthode du processus
d’entreprise ou en fonction de la méthode de l’application unique

•

Examen des contrôles d’accès

•

Élaboration du plan de travail

•

Élaboration du programme d’examen détaillé

•

Évaluation du besoin en ressource spécialisée

•

Réalisation du mandat (tests, documentation et résultats )

•

Communication des résultats

96
GTAG8 – Cadres de référence
Contrôles applicatifs

CobiT V4
• Aucun objectif précis, mais l’ensemble du cadre peut devenir un outil essentiel

ITIL V3
• Ne s’applique pas vraiment dans le cadre de ce GTAG

COSO’s Internal Control over Financial Reporting - Guidance for Smaller
Public Companies
• Cadre descriptif assez complet touchant la question

ISO 27002
• Pas de section particulière

97
Questions – 1 minute
Contrôles applicatifs

98
GTAG13
Prévention et détection de la
fraude dans un contexte
automatisé
(35 pages)

99
GTAG13 – Objectifs
Prévention et détection de la fraude

• Ce guide se veut un complément au guide pratique de l’IIA sur l’audit
interne et la fraude. Il vise à informer et à guider les directeurs de
l’audit interne et les auditeurs internes sur la façon d’utiliser la
technologie pour aider à prévenir la fraude, la détecter et y réagir.
• Les principales thématiques portent sur les risques de fraude liée aux
systèmes de TI, l’évaluation de ces risques et la manière dont la
technologie peut aider les auditeurs internes et les autres parties
prenantes au sein de l’organisation à composer avec la fraude et les
risques de fraude.

100
GTAG13 – Introduction
Prévention et détection de la fraude

• Définition − « Tout acte illégal caractérisé par la tromperie, la
dissimulation ou la violation de la confiance sans qu’il y ait eu
violence ou menace de violence. Les fraudes sont perpétrées par des
personnes et des organisations afin d’obtenir de l’argent, des biens ou
des services, ou de s’assurer un avantage personnel ou commercial ».
• Norme IIA 1210.A2 − Les auditeurs internes doivent posséder des
connaissances suffisantes pour évaluer le risque de fraude et la façon
dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas
censés posséder l’expertise d’une personne dont la responsabilité
première est la détection et l’investigation des fraudes.
• Norme IIA 2060 − Rapports au conseil et à la direction générale − Le
responsable de l’audit interne doit rendre compte périodiquement à la
direction générale et au conseil des missions, des pouvoirs et des
responsabilités de l’audit interne, ainsi que du degré de réalisation du
plan d’audit.
101
GTAG13 – Politique d’enquête sur
les fraudes
Prévention et détection de la fraude

Ce que doit comprendre une politique d’enquête sur les fraudes
•
•
•
•
•
•
•

Quand et comment entreprendre une enquête sur fraude
Les documents nécessaires pour faire une enquête sur fraude
Comment choisir les membres de l’équipe d’enquête
La marche à suivre pour ajouter des experts à l’équipe
Comment évaluer et atténuer le risque lié aux contrôles internes
Quand et comment confier l’enquête à l’échelon supérieur
Comment assurer la cohérence et l’uniformité, de manière à ce que
toutes les infractions soient traitées de la même façon
• Des directives sur l’étape jusqu’à laquelle l’organisation est prête à
pousser l’enquête
• Les voies de communication à utiliser avant, pendant et après
l’enquête
• Des directives sur l’ampleur des mesures correctives à déployer
102
GTAG13 – Évaluation des manœuvres
frauduleuses
Prévention et détection de la fraude

Voici deux méthodes pour évaluer le potentiel de manœuvres
frauduleuses du point de vue du fraudeur :
1.

2.

Méthode axée sur la faiblesse des contrôles − On évalue le potentiel
de fraude en examinant les contrôles clés pour voir qui pourrait
profiter d’une faiblesse dans les contrôles et de quelle manière un
fraudeur pourrait contourner un contrôle déficient.
Méthode axée sur les champs clés − On évalue le potentiel de fraude
en examinant les données saisies, quels champs peuvent être
manipulés (et par qui) et quelles seraient les conséquences.

103
GTAG13 – Grille d’évaluation du risque
Prévention et détection de la fraude
Propriétaire
d’entreprise
TI — DSI

Risques de fraude

Contrôles

Des contrôles
physiques
insuffisants du
matériel de TI
donnent lieu à des
changements, à la
destruction ou à
l’utilisation illicite
du matériel à des
fins
d’enrichissement
personnel. (Sécurité
physique)

• Matériel informatique
critique situé dans des
centres de données sécurisés
• Accès restreint aux centres
de données selon les
responsabilités
• Utilisation de dispositifs de
sécurité variés
(p. ex., carte d’accès,
surveillance par caméra en
circuit fermé, gardiens de
sécurité)
• Politiques et procédures
consignées par écrit
• Maintien d’un registre des
visiteurs
• Utilisation de câbles de
sécurité pour les ordinateurs
portables
• Inventaire trimestriel des
postes de travail
• Méthodes
d’approvisionnement
officielles

Prévention ou
détection
Les deux

Surveillance

Probabilité

Incidence

• Gestion du centre de
données
• Prévention des pertes
• Gestion des risques
liés aux TI
• Opérations TI
• Surveillance
quotidienne des
registres de visiteurs
par les gestionnaires
• Inventaires
périodiques effectués
par la gestion de
l’actif
• Rapprochement des
comptes
d’approvisionnement
• Audit interne

Faible

Élevée

104
GTAG13 – Acquisitions
Prévention et détection de la fraude

L’importance de l’acquisition des données :
• Assurance de l’intégrité des données − Un professionnel chevronné
doit copier les données du disque dur suspect vers un disque dur de
l’auditeur.
• La chaîne de preuves − Des outils spécialisés assurent que les
données n’ont pas été modifiées lors du transfert des données.
• L’organisation de la preuve − Des procédures claires et bien
exécutées permettent d’avoir l’assurance que la chaîne de preuves n’a
pas été brisée.

105
GTAG13 – Détection des fraudes par l’analyse
des données (IDEA et ACL)
Prévention et détection de la fraude

Types de tests de fraude : Des exemples
Types de fraude

Tests servant à découvrir la fraude

Ventes fictives

Chercher les adresses de boîtes aux lettres : Faire un croisement
entre l’adresse des fournisseurs et des employés.
Faire attention aux fournisseurs dont les informations sont
similaires, avec mêmes adresses et numéros de téléphone.

Paiements en double

Chercher les factures avec les mêmes numéros.
Chercher les factures dont les montants à payer sont identiques.
Vérifier les demandes récurrentes pour le remboursement des
factures payées deux fois.

Paie à un employé ayant
quitté l’entreprise

Comparer la date de départ des employés avec la liste des
chèques de paie.
Parcourir la liste des employés sur le registre de la paie.
106
GTAG13 – Utilisation de la technologie dans
la prévention et la détection de la fraude
Prévention et détection de la fraude

• Outils − Ex. : EnCase ou FTK
• Spécialisation − Les auditeurs internes, règle générale, n’ont pas ce
type d’expertise. Des experts externes sont souvent utilisés.
• Expertise judiciaire − Un processus comprenant la conservation,
l’identification, l’extraction et la documentation de matériel et de
données informatiques à des fins de preuve et d’analyse des causes
profondes. Voici des exemples d’activités liées à l’expertise judiciaire
en informatique :
– Récupération de courriels supprimés;
– Surveillance du courrier électronique en vue de détecter des indices
de fraude;
– Enquête suivant une cessation d’emploi;
– Récupération de preuves suivant le formatage d’un disque dur.
107
GTAG13 – Utilisation de la technologie dans
la prévention et la détection de la fraude
Prévention et détection de la fraude

• L’expertise judiciaire en informatique − Elle permet d’établir et de
maintenir une chaîne de possession continue, laquelle est essentielle
pour déterminer l’admissibilité d’un élément de preuve devant les
tribunaux.
• Expertise de l’auditeur interne − Bien qu’on ne s’attende pas à ce
que les directeurs de l’audit interne et les auditeurs internes soient des
experts en la matière, les directeurs de l’audit interne doivent avoir
une compréhension générale des avantages que procure cette
technologie afin de pouvoir recruter, au besoin, des experts
compétents pour collaborer à une enquête sur fraude.

108
GTAG13 – Cadres de référence
Prévention et détection de la fraude

CobiT V4
• Pas vraiment axé sur la fraude

ITIL V3 - Conception des services
• Pas vraiment axé sur la fraude

COSO
• Sujet abordé de façon générale et en lien avec le reporting financier

ISO 27002
• Aucune section spécifique sur la fraude, l’ensemble du document traite de façon générale
de la fraude

109
Questions – 1 minute
Prévention et détection de la fraude

110
GTAG15
Gouvernance de la sécurité de
l’information (GSI)
(28 pages)

111
GTAG15 – Objectifs
Gouvernance de la sécurité

Ce guide fournit une réflexion et une approche aux responsables de
la vérification interne TI afin que le plan d’audit TI incorpore des
mesures touchant la gouvernance de la sécurité de l’information TI
(attitudes, pratiques, etc.) :
• Identifier et définir les mesures de gouvernance à l’égard de la
sécurité de l’information.
• Aider les auditeurs internes TI afin ceux-ci posent les bonnes
questions et connaissent quels types de documents sont requis.
• Décrire le rôle de l’auditeur interne TI à l’égard de la
gouvernance de la sécurité de l’information.

112
GTAG15 – Introduction
Gouvernance de la sécurité

• Définition − La gouvernance de la sécurité de l’information consiste
au leadership, à la structure organisationnelle et aux processus qui
assurent que le système d’information de l’entreprise supporte les
stratégies et les objectifs de l’organisation.
• Gouvernance − Les TI ne sont pas les seules dépositaires de la
gouvernance de la sécurité de l’information, mais en termes d’impact,
elles devraient être la première place à investiguer.
• Compréhension − Dépendant des entreprises, la compréhension
d’une bonne gouvernance de la sécurité de l’information peut être très
différente.

113
GTAG15 – Introduction
Gouvernance de la sécurité

Information Security Governance Triangle

114
GTAG15 – Responsabilités
Gouvernance de la sécurité

Le conseil d’administration donne le ton en ce qui a trait à la gouvernance de la
sécurité de l’information.
115
GTAG15 – Risques
Gouvernance de la sécurité

•
•
•
•
•

Non-respect des différentes réglementations
Atteinte à la réputation de l’entreprise
Perte de compétitivité
Données incomplètes ou inexactes
Augmentation du risque de fraude

Il est important pour l’auditeur interne IT de comprendre le niveau d’appétence du
risque de l’organisation et du conseil d’administration.
116
GTAG15 – Auditeur TI
Gouvernance de la sécurité

Afin de performer un audit touchant la gouvernance de la sécurité
de l’information, l’auditeur TI doit être :
•
•
•
•

Très expérimenté et aguerri;
À l’aise avec les concepts de gouvernance;
En mesure d’évaluer les risques internes et externes;
À l’aise pour communiquer avec la direction et la haute direction.

La direction de l’audit interne doit être impliquée dans ce type
d’audit.
L’auditeur TI doit être une personne ayant une vision large des enjeux de sécurité,
de gestion et de gouvernance dans un cadre global.
117
GTAG15 – Cadres de référence
Gouvernance de la sécurité

CobiT V4
• L’ensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services
• La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant
la gouvernance

COSO
• De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et
52-109

ISO 27002
• Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type
d’audit

118
Questions – 1 minute
Gouvernance de la sécurité

119
GTAG17
Audit de la gouvernance TI
(24 pages)

120
GTAG17 – Objectifs
Audit de la gouvernance TI

But du guide − Permettre à l’équipe d’audit interne de respecter la norme
2110 de l’IIA.

121
GTAG17 – Introduction
Audit de la gouvernance TI

Ce guide fournit une réflexion et une approche aux responsables de
la vérification interne TI afin que le plan d’audit TI incorpore des
mesures touchant la gouvernance des technologies de l’information
afin de :
• identifier et définir les processus et structures implantés par le CA pour
informer,
• diriger,
• gérer,
• surveiller (monitoring) les activités de l’organisation afin de respecter
les objectifs organisationnels définis par le CA.
Le conseil d’administration (CA) est l’ultime entité responsable de l’atteinte des
objectifs organisationnels.
122
GTAG17 – Introduction
Audit de la gouvernance TI

123
GTAG17 – Introduction
Audit de la gouvernance TI

Les cinq composantes touchant la gouvernance TI

124
GTAG17 – Organisation et structure de gouvernance
Audit de la gouvernance TI

• Imputabilité
• Communication
• La structure de gouvernance doit être alignée avec la structure
organisationnelle
• Implication des managers TI dans les décisions stratégiques
• Place des TI dans l’organisation
• Définition des rôles et responsabilités

125
GTAG17 – Support et leadership
Audit de la gouvernance TI

• Vision claire de la haute direction
• Communication claire à l’égard des objectifs TI (ex. : ROI)
• Les TI doivent être vues comme un élément stratégique, pas juste un
coût
• Plan stratégique qui oriente les actions TI
• Rôles et responsabilités du dirigeant TI senior (CIO)
• CIO impliqué dans l’équipe de direction

126
GTAG17 – Planification stratégique et opérationnelle
Audit de la gouvernance TI

• Gouvernance TI en lien avec le plan stratégique
• CIO responsable du plan tactique aligné sur plan stratégique
• Plan tactique = Comment accomplir les objectifs définis et comment
mesurer leurs atteintes
• Les TI doivent mesurer comment elles contribuent à l’atteinte du plan
stratégique
• Les TI doivent être perçues comme un partenaire stratégique dans
l’atteinte des objectifs organisationnels
• Notion de valeur à l’égard des investissements TI (ROI)

127
GTAG17 – Livrables et métriques
Audit de la gouvernance TI

• Modèle financier et métriques TI
• Utilisation de données justes
• Compilation de données pertinentes
• Évaluation quantitative et qualitative
• Satisfaction des parties prenantes fait partie des métriques
• Système de coûts adéquat et pertinent
• Comparaison (benchmark) avec d’autres organisations comparables

128
GTAG17 – Organisation TI et gestion du risque
Audit de la gouvernance TI

• Succès TI en lien avec le leadership de la haute direction et du CA
• Gestion des risques adéquate (humain, technique, etc.)
• Niveau de maturité des processus TI
• Niveau de complexité des opérations, applications, etc.
• Niveau de normalisation des différents processus
• Organisation des TI
• Niveau d’expertise et d’expérience

129
GTAG17 – Cadres de référence
Audit de la gouvernance TI

CobiT V4
• L’ensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services
• La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant la
gouvernance

COSO
• De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et
52-109

ISO 27002
• Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type
d’audit

130
Questions – 1 minute
Audit de la gouvernance TI

131
GTAG10
Gestion de la continuité d’activité
(48 pages)

132
GTAG10 – Objectifs
Gestion de la continuité d’activité

• Le présent guide décrit les connaissances dont doivent disposer les
membres des organes de direction, l’encadrement et les auditeurs
internes pour appréhender l’efficacité des dispositifs de reprise
d’activité et leur impact sur l’entreprise.
• Ce GTAG a été rédigé en tenant compte du point de vue du
responsable de l’audit interne. Ce dernier a la tâche difficile de
sensibiliser les chefs d’entreprise aux risques, aux contrôles, aux coûts
et aux avantages liés à l’adoption d’un programme de gestion de la
continuité.
« One of the true tests of leadership is the ability to
recognize a problem before it becomes an
emergency. »
- Arnold H. Glasgow
133
GTAG10 – Introduction
Gestion de la continuité d’activité

• Il appartient au responsable de l’audit interne de signaler les carences
de la gestion de la continuité à la direction et au comité d’audit.
• La gestion de la continuité d’activité est le processus par lequel une
organisation se prépare à des incidents futurs qui pourraient menacer
sa mission principale et sa viabilité à long terme.
• Ces incidents peuvent être des événements locaux (ex. : l’incendie
d’un bâtiment, régionaux (ex. : un séisme) ou nationaux (ex. : une
pandémie).

134
GTAG10 – Questions clés
Gestion de la continuité d’activité

Trois questions simples, mais fondamentales, concernant la
continuité d’activité :
1.

La direction de l’organisation comprend-elle bien le niveau actuel de risque de non-continuité
d’activité, ainsi que l’impact potentiel de tel ou tel degré probable d’interruption des opérations?

2.

L’organisation peut-elle démontrer que les risques de non-continuité de l’activité sont ramenés à un
niveau acceptable aux yeux de la direction et font périodiquement l’objet d’une nouvelle évaluation?

3.

Si le risque de non-continuité de l’activité est inacceptable, mais que l’encadrement a décidé de
l’assumer, les actionnaires, les partenaires commerciaux et autres acteurs sont-ils au courant de cette
décision de ne pas réduire le risque? Cette décision d’accepter le risque est-elle correctement
documentée?

Si la réponse à l’une de ces questions est « non », le présent guide sera sûrement
très utile!

135
GTAG10 – Gestion des situations
d’urgence
Gestion de la continuité d’activité

136
GTAG10 – Catastrophes naturelles
Gestion de la continuité d’activité

137
GTAG10 – Diagramme de réalisation
d’un plan de continuité des affaires
Gestion de la continuité d’activité

138
GTAG10 – Comprendre la DMIA et le DPMA
Gestion de la continuité d’activité

139
GTAG10 – Cadres de référence
Gestion de la continuité d’activité

CobiT V4
• DS4 Assurer un service continu

ITIL V3 - Conception des services
• Gestion de la continuité

COSO
• N’est pas un enjeu dans le monde de COSO

ISO 27002
• 14 Gestion du plan de continuité de l’activité

140
Questions – 1 minute
Gestion de la continuité d’activité

141
GTAG7
L’infogérance
(37 pages)

142
GTAG7 – Objectifs
Infogérance

• Qu’est-ce que le service d’audit interne doit prendre en compte
• Les différents types d’infogérance
• Comprendre le cycle de vie et les modalités

143
GTAG7 – Introduction
Infogérance

• L’infogérance est souvent définie comme le recours à des prestataires
de services ou des fournisseurs afin qu’ils créent, maintiennent ou
réorganisent l’architecture et les systèmes informatiques d’une
entreprise.
• Ne pas impartir :
– la gouvernance des SI;
– la gestion du portefeuille d’investissements informatiques;
– la gestion des contrats.
• L’entreprise reste vulnérable aux risques informatiques.
• Les auditeurs internes jouent un rôle proactif dans la supervision de la
performance.

144
GTAG7 – Types d’infogérance
Infogérance
•

La tierce maintenance applicative

•

La gestion des infrastructures

•

Le soutien technique

•

Les services indépendants de tests et de validation

•

La gestion des centres de traitement de données

•

L’intégration de système

•

L’hébergement et la maintenance des sites Web

•

Les services de sécurité gérés

•

L’informatique dans les nuages

145
GTAG7 – Cycle de vie : Risques et contrôles
Infogérance

•
•
•
•
•
•
•

Stratégie et évaluation de tierces parties
Processus de décision et analyse de rentabilité
Processus d’appel d’offres et contrats
Implémentation et transition
Surveillance et rapport
Renégociation
Réversibilité

146
GTAG7 – Efficacité du prestataire
Infogérance

• Compréhension de l’étendue de la prestation
• Domaines d’architectures
• Modèle de gouvernance utilité par le prestataire (silo ou fonction)
• Contrôles généraux TI
• Composantes de la gestion du service TI
• Audit interne

147
GTAG7 – Cadres de référence
Infogérance
CobiT V4
•
•
•
•
•

SE2 Surveiller et évaluer le contrôle interne
SE3 S’assurer de la conformité aux exigences externes
DS2 Gérer les services tiers
DS5 Assurer la sécurité des systèmes
AI5 Acquérir des ressources informatiques

ITIL V3
• Ne s’applique pas vraiment dans le cadre de ce GTAG

La gestion des risques de l’entreprise – Cadre de référence
• Cadre général

ISO 27002
•
•
•
•
•

6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La sécurité et les clients
6.2.3 La sécurité dans les accords conclus avec des tiers
8.1.1 Rôles et responsabilités

148
GTAG7 – Références autres
Infogérance

NCMC 3416
• La présente NCMC porte essentiellement sur les contrôles d'une société de services qui
sont susceptibles d'être pertinents pour le contrôle interne de l'information financière des
entités utilisatrices

SSAE 16
• L’équivalent du NCMC 3416 du côté américain

149
Questions – 1 minute
Infogérance

150
GTAG5
Le management et l’audit des
risques d’atteinte à la vie privée
(43 pages)

151
GTAG5 – Objectifs
Vie privée

Les défenseurs de la vie privée ont voulu que chaque citoyen :
• Puisse maîtriser qui détient des informations sur eux ainsi que le type
d'information personnelle détenue
• Puisse maîtriser l'usage qui est fait de cette information

152
GTAG5 – Introduction
Vie privée

La protection des renseignements personnels a plusieurs formes,
dépendant des juridictions :
• Au Québec pour les organismes publics − Loi sur l'accès aux
documents des organismes publics et sur la protection des
renseignements personnels, et Règlement sur la diffusion de
l'information et sur la protection des renseignements personnels
• Au Québec pour les organismes privés − Loi sur la protection des
renseignements personnels dans le secteur privé
• Au Canada pour les organismes publics − Loi Fédérale sur la
protection des données
• Il faut porter attention aux lois des différents pays, chaque pays ayant
ses propres lois
153
GTAG5 – Risques liés à vie privée
Vie privée

• Risque de nuire à l'image l'organisation
• Perte financière ou d’investisseurs potentiels
• Sanctions règlementaires
• Accusation de pratiques déloyales
• Perte de confiance auprès des clients, des citoyen ou des employés
• Perte de clients et de revenus
• Relation d’affaires ternies

154
GTAG5 – Avantages d’un audit de la vie privée
Vie privée

• Faciliter la conformité aux lois et règlements
• Mesurer et aider à améliorer la conformité de la protection des
données
• Identifier les différence entre les politiques et la pratique
• Augmenter le niveau de sensibilisation à la protection des
données entre la direction et le personnel
• Donner de l’assurance sur le risque de réputation
• Améliorer les procédures pour répondre aux plaintes de
confidentialité

155
GTAG5 – Exemples impactant l’audit
Vie privée

• Changements dans les lois et règlements
• Information gérée par les tiers ou dans l’informatique dans les nuages
• Maturité des politiques, procédure et pratiques de confidentialité
• Nouvelles technologies utilisées

156
GTAG5 – Audit de la protection de la vie
privée
Vie privée
•
•
•
Évaluation des
•
risques

Risques juridiques et organisationnels
Risques liés à l’infrastructure
Risques liés aux applications
Risques liés aux processus opérationnels

•
•
•
Préparation de •
la mission
•

Évaluation de la protection de la vie privée
Comprendre le traitement des données personnelles
Repérer les menaces
Identifier les contrôles et les contre-mesures
Classement par ordre de priorité

Évaluation

•
•
•
•

Évaluer le dispositif de protection des données
Évaluer les vulnérabilités et faire des tests d’intrusion
Tests des contrôles physiques
Test d’ingénierie social

• Consulter le conseiller juridique sur les violations potentielles
• Émettre le rapport
Communiquer • Faire le suivi des recommandations
les résultats

157
GTAG5 – Les 12 questions
Vie privée

1.
2.
3.
4.
5.

6.

Est-ce que l’organisation a un conseil d’administration en place pour
traiter du niveau de risque acceptable face à la vie privée?
Quel est le niveau de risque acceptable pour la direction?
À quelles législation et réglementation l’organisation est-elle
soumise en matière de protection de la vie privée?
Quelles sont les informations à caractère personnel que collecte
l’organisation?
L’organisation s’est-elle dotée de politiques et de procédures pour la
collecte, l’utilisation, la conservation, la destruction et la divulgation
des informations personnelles?
L’organisation a-t-elle désigné un responsable pour la gestion de son
dispositif de protection de la vie privée?
158
GTAG5 – Les 12 questions (suite)
Vie privée

7.

L’organisation sait-elle où sont stockées toutes les données
personnelles?
8. Comment sont protégées les informations personnelles?
9. Les salariés sont-ils correctement sensibilisés et formés par rapport à
la protection des données personnelles?
10. L’organisation dispose-t-elle des ressources adéquates pour élaborer,
mettre en œuvre et actualiser un programme?
11. L’organisation procède-t-elle à une évaluation périodique de la mise
en application de ses politiques et procédures de protection de la vie
privée?
12. Certaines informations personnelles sont-elles communiquées à des
tiers?
159
GTAG5 – Cadres de référence
Vie privée
CobiT V4
•
•
•
•
•

DS5 Assurer la sécurité des systèmes
SE3 S’assurer de la conformité aux obligations externes
PO2.3 Système de classification des données
PO7 Gérer les ressources humaines de l'informatique
DS11.4 Mise au rebut

ITIL V3
• ITIL n’est pas un référentiel d’audit. Ce sujet n’est pas abordé par ce référentiel

La gestion des risques de l’entreprise – Cadre de référence
• Cadre général

ISO 27002
• Section 6 Organisation de la sécurité de l’information

160
Questions
(10 minutes)

161
Mot de la fin
Gilles Savard
514 954-4624
Savard.Gilles@rcgt.com

Olivier Legault
514 954-4685
Legault.Olivier@rcgt.com

Francis LeBlanc-Gervais
514 390-4137
LeBlanc-Gervais.Francis@rcgt.com

162

Contenu connexe

Tendances

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Le contrôle interne ou la finalité de l'audit interne
Le contrôle interne ou la finalité de l'audit interneLe contrôle interne ou la finalité de l'audit interne
Le contrôle interne ou la finalité de l'audit interne
Asmae OULMADOU
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITIL
Abdessamad Mountadi
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
ISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptISO 9001 V 2015 .ppt
ISO 9001 V 2015 .ppt
TrikiWassim1
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
Roland Kouakou
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
ISlean consulting
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
Ammar Sassi
 
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauGouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Jean-Antoine Moreau
 
Ppt equipe 3
Ppt equipe 3Ppt equipe 3
Ppt equipe 3
Naoufal Chafer
 
Fsts slides itil v3
Fsts   slides itil v3Fsts   slides itil v3
Fsts slides itil v3
bader bader
 

Tendances (20)

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Le contrôle interne ou la finalité de l'audit interne
Le contrôle interne ou la finalité de l'audit interneLe contrôle interne ou la finalité de l'audit interne
Le contrôle interne ou la finalité de l'audit interne
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITIL
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
ISO 9001 V 2015 .ppt
ISO 9001 V 2015 .pptISO 9001 V 2015 .ppt
ISO 9001 V 2015 .ppt
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit des si
Audit des siAudit des si
Audit des si
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine MoreauGouvernance du Système d'Information Conférence Jean-Antoine Moreau
Gouvernance du Système d'Information Conférence Jean-Antoine Moreau
 
Ppt equipe 3
Ppt equipe 3Ppt equipe 3
Ppt equipe 3
 
Fsts slides itil v3
Fsts   slides itil v3Fsts   slides itil v3
Fsts slides itil v3
 

En vedette

Comment utiliser LinkedIn pour favoriser le recrutement
Comment utiliser LinkedIn pour favoriser le recrutementComment utiliser LinkedIn pour favoriser le recrutement
Comment utiliser LinkedIn pour favoriser le recrutement
Philippe Bussières, M.Sc.
 
#Bestpractices pour mettre en place une #tma #ITOutsourcing
#Bestpractices pour mettre en place une #tma #ITOutsourcing#Bestpractices pour mettre en place une #tma #ITOutsourcing
#Bestpractices pour mettre en place une #tma #ITOutsourcing
Sébastien Bourguignon
 
La red de internet
La  red de internetLa  red de internet
La red de internet
Alex_30
 
Blog
BlogBlog
Blog
rsscm
 
Que es la quimica
Que es la quimicaQue es la quimica
Que es la quimica
rodrigotovar
 
G Deces Du Bon Sens2
G Deces Du Bon Sens2G Deces Du Bon Sens2
G Deces Du Bon Sens2
guest6b12b7
 
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
Intelli³
 
Gimnastica cerebral David Gateu
Gimnastica cerebral  David GateuGimnastica cerebral  David Gateu
Gimnastica cerebral David Gateu
David Gateu valls
 
La historia como recurso metodológico en la enseñanza
La historia como recurso metodológico en la enseñanzaLa historia como recurso metodológico en la enseñanza
La historia como recurso metodológico en la enseñanza
mariainesnepomuceno
 
Awa lsdj-manag-participatif
Awa lsdj-manag-participatifAwa lsdj-manag-participatif
Awa lsdj-manag-participatif
ETP Odorico
 
INSUFICIENCIA CARDIACA
INSUFICIENCIA CARDIACA INSUFICIENCIA CARDIACA
INSUFICIENCIA CARDIACA
Eivert Larez
 
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
Xerox Global
 
A qué deberían ir los niños a la escuela
A qué deberían ir los niños a la escuelaA qué deberían ir los niños a la escuela
A qué deberían ir los niños a la escuela
EZEQUIEL ORJUELA BETANCOURT
 
Cpp3 : heritage
Cpp3 : heritageCpp3 : heritage
Cpp3 : heritage
Abdoulaye Dieng
 
Faites vous partie de ces français qui dorment debout
Faites vous partie de ces français qui dorment deboutFaites vous partie de ces français qui dorment debout
Faites vous partie de ces français qui dorment debout
helenaaldaz
 
Curriculum de edgar nieto
Curriculum de edgar nietoCurriculum de edgar nieto
Curriculum de edgar nieto
el-pleny
 
Diseño
DiseñoDiseño
Le club utilisateurs obm
Le club utilisateurs obmLe club utilisateurs obm
Le club utilisateurs obm
OBM
 
Procesador 486
Procesador 486Procesador 486
Procesador 486
cadamecortes237
 
Preguntas
PreguntasPreguntas
Preguntas
Luis Posada
 

En vedette (20)

Comment utiliser LinkedIn pour favoriser le recrutement
Comment utiliser LinkedIn pour favoriser le recrutementComment utiliser LinkedIn pour favoriser le recrutement
Comment utiliser LinkedIn pour favoriser le recrutement
 
#Bestpractices pour mettre en place une #tma #ITOutsourcing
#Bestpractices pour mettre en place une #tma #ITOutsourcing#Bestpractices pour mettre en place une #tma #ITOutsourcing
#Bestpractices pour mettre en place une #tma #ITOutsourcing
 
La red de internet
La  red de internetLa  red de internet
La red de internet
 
Blog
BlogBlog
Blog
 
Que es la quimica
Que es la quimicaQue es la quimica
Que es la quimica
 
G Deces Du Bon Sens2
G Deces Du Bon Sens2G Deces Du Bon Sens2
G Deces Du Bon Sens2
 
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
Les bénéfices des solutions géodécisionnelles pour l’analyse des infrastructu...
 
Gimnastica cerebral David Gateu
Gimnastica cerebral  David GateuGimnastica cerebral  David Gateu
Gimnastica cerebral David Gateu
 
La historia como recurso metodológico en la enseñanza
La historia como recurso metodológico en la enseñanzaLa historia como recurso metodológico en la enseñanza
La historia como recurso metodológico en la enseñanza
 
Awa lsdj-manag-participatif
Awa lsdj-manag-participatifAwa lsdj-manag-participatif
Awa lsdj-manag-participatif
 
INSUFICIENCIA CARDIACA
INSUFICIENCIA CARDIACA INSUFICIENCIA CARDIACA
INSUFICIENCIA CARDIACA
 
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
10 raisons pour lesquelles vous devriez offrir des services d’ePublishing
 
A qué deberían ir los niños a la escuela
A qué deberían ir los niños a la escuelaA qué deberían ir los niños a la escuela
A qué deberían ir los niños a la escuela
 
Cpp3 : heritage
Cpp3 : heritageCpp3 : heritage
Cpp3 : heritage
 
Faites vous partie de ces français qui dorment debout
Faites vous partie de ces français qui dorment deboutFaites vous partie de ces français qui dorment debout
Faites vous partie de ces français qui dorment debout
 
Curriculum de edgar nieto
Curriculum de edgar nietoCurriculum de edgar nieto
Curriculum de edgar nieto
 
Diseño
DiseñoDiseño
Diseño
 
Le club utilisateurs obm
Le club utilisateurs obmLe club utilisateurs obm
Le club utilisateurs obm
 
Procesador 486
Procesador 486Procesador 486
Procesador 486
 
Preguntas
PreguntasPreguntas
Preguntas
 

Similaire à GTAG: Documents de référence

ISO 9001 (1).pptx
ISO 9001 (1).pptxISO 9001 (1).pptx
ISO 9001 (1).pptx
salmagouam
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
Youssef Bensafi
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
nicoperes
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
Carine Pascal
 
Agilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernanceAgilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernance
Pyxis Technologies
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
PMI Lévis-Québec
 
Modèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVModèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEV
Pierre
 
[2]bis
[2]bis[2]bis
[2]bis
fofana72
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
PMI Lévis-Québec
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Jean-François P. Beaulieu, ing. jr
 
1675411964246.pdf
1675411964246.pdf1675411964246.pdf
1675411964246.pdf
HAMRANMGCQHSE
 
veille digimind
veille digimindveille digimind
veille digimind
icdes
 
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
RBFHealth
 
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
RBFHealth
 
Lean IT et TRS - Pilotage de la performance opérationnelle
Lean IT et TRS - Pilotage de la performance opérationnelleLean IT et TRS - Pilotage de la performance opérationnelle
Lean IT et TRS - Pilotage de la performance opérationnelle
Antoine Vigneron
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCN
Hermann NGUIMO
 
COBIT Synthèse.pdf
COBIT Synthèse.pdfCOBIT Synthèse.pdf
COBIT Synthèse.pdf
fluffyfluff1
 

Similaire à GTAG: Documents de référence (20)

ISO 9001 (1).pptx
ISO 9001 (1).pptxISO 9001 (1).pptx
ISO 9001 (1).pptx
 
Comment choisir son dispositif de certification pour la gouvernance de son SI ?
Comment choisir son dispositif de certification pour la gouvernance de son SI ?Comment choisir son dispositif de certification pour la gouvernance de son SI ?
Comment choisir son dispositif de certification pour la gouvernance de son SI ?
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Agilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernanceAgilité du point de vue de la gouvernance
Agilité du point de vue de la gouvernance
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
 
Modèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVModèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEV
 
[2]bis
[2]bis[2]bis
[2]bis
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
 
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110) Cycle de développement pour les TPO (Norme ISO/IEC 29110)
Cycle de développement pour les TPO (Norme ISO/IEC 29110)
 
1675411964246.pdf
1675411964246.pdf1675411964246.pdf
1675411964246.pdf
 
veille digimind
veille digimindveille digimind
veille digimind
 
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Three - La mesure...
 
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - La mesure...
 
Lean IT et TRS - Pilotage de la performance opérationnelle
Lean IT et TRS - Pilotage de la performance opérationnelleLean IT et TRS - Pilotage de la performance opérationnelle
Lean IT et TRS - Pilotage de la performance opérationnelle
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCN
 
COBIT Synthèse.pdf
COBIT Synthèse.pdfCOBIT Synthèse.pdf
COBIT Synthèse.pdf
 

Plus de ISACA Chapitre de Québec

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
ISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
ISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 

GTAG: Documents de référence

  • 1. GTAG Documents de référence Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d’audit TI
  • 2. Présentateurs « un pour tous, tous pour un » Athos Aramis Porthos Francis LeBlanc-Gervais Gilles Savard Olivier Legault CPA, CA, CISA Directeur CPA, CA, CA-TI, PMP, CISA, ITIL Directeur principal CPA, CGA, CISA Directeur 2
  • 3. GTAG – Pourquoi cette présentation? • D’après notre expérience, ils sont peu connus et peu utilisés dans la pratique. • Il y a un questionnement. Quelle est la différence entre les cadres de référence et les GTAG? • Comment pouvons-nous utiliser les GTAG? • Sont-ils des outils de formation intéressants? • Y a-t-il des programmes d’audit intégrés dans les GTAG? 3
  • 4. GTAG Origine • GTAG : Global Technology Audit Guides (Guides pratiques d’audit des TI) • Guides développés à la demande du président de l’IIA, David A. Richards en 2005 • Guides développés par des gens en provenance de divers milieux (industries, universités, firmes comptables) • Orienté principalement vers le personnel de gestion et les auditeurs internes, et non vers le personnel « technique » • Le premier guide appelé « Les contrôles des systèmes d’information » a été publié en mars 2005 • Le dernier guide appelé « Gouvernance TI » a été publié en 2012 4
  • 5. GTAG – Objectif visé • Élaborés par l’IIA, chaque guide traite d’un thème qui a trait à la gestion, au contrôle et à la sécurité des systèmes d’information. • Cette série de guides constitue un outil pour le gestionnaire et l’auditeur interne qui peuvent ainsi s’informer sur les différents risques liés à la technologie et sur les pratiques recommandées. • Expliquer les contrôles TI et la vérification de ces contrôles pour permettre au gestionnaire et à l’auditeur interne de comprendre et de communiquer la nécessité d’un environnement de contrôle TI robuste au sein de leur organisation. 5
  • 7. GTAG – 17 guides (#6 enlevé) • Contrôles des systèmes de l'information (GTAG1) – Anglais seulement • Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation (GTAG2) • Audit continu : Répercussions sur l'assurance, le pilotage et l'évaluation des risques (GTAG3) • Management de l'audit des systèmes d'information (GTAG4) • Management et audit des risques d'atteinte à la vie privée (GTAG5) • Gestion et audit des vulnérabilités des technologies de l'information (GTAG6) • Infogérance (GTAG7) • Audit des contrôles applicatifs (GTAG8) 7
  • 8. GTAG – 17 guides • • • • • • Identité et gestion des accès (GTAG9) Gestion du plan de continuité des affaires (GTAG10) Développement d’un plan d’audit (GTAG11) Audit des projets TI (GTAG12) Prévention de la fraude et détection (GTAG13) Audit des applications utilisées par les utilisateurs (Excel, Access, etc.) (GTAG14) – Anglais seulement • Gouvernance de la sécurité TI (GTAG15) – Anglais seulement • Analyse des données – Extraction (GTAG16) – Anglais seulement • Audit de la gouvernance TI (GTAG17) – Anglais seulement 8
  • 10. GTAG1 – Objectifs Risques et contrôles • Aider les auditeurs internes à devenir plus confortables avec les contrôles généraux TI afin qu’ils puissent aborder ces questions avec la haute direction. • Décrit comment les différents intervenants impliqués par la pratique d’audit interne (CA, gestion, personnel, professionnels) doivent aborder et évaluer les risques et les contrôles TI. • De plus, il met les bases des GTAG à venir, qui seront consacrés à des sujets plus précis et présenteront les fonctions et responsabilités correspondantes dans l’entreprise avec plus de détails. • Ce guide est la seconde édition. Le premier était davantage orienté sur les contrôles TI et avait été publié en mars 2005. 10
  • 11. GTAG1 – Introduction Risques et contrôles • Plusieurs risques et menaces importants sont en lien avec les TI. Les risques les plus importants viennent de l’interne et non de l’externe. De bon contrôles TI diminuent la probabilité qu’un risque ou une menace se concrétise. • Plusieurs cadres de référence existent pour catégoriser les objectifs et contrôles TI. Ce guide recommande que chaque organisation utilise les composantes provenant des différents cadres de références existants (COSO, ITIL, CobiT, etc.) qui sont applicables pour eux. • Un gestionnaire d’audit interne peut utiliser ce guide comme une fondation pour évaluer les risques et contrôles TI et la conformité. 11
  • 12. GTAG1 – Risques Risques et contrôles • Pour un dirigeant d’audit interne, il est impératif de bien jauger l’appétence et la tolérance aux risques du CA. • Un dirigeant d’audit interne doit considérer si l’environnement TI est en ligne avec l’appétence aux risques du CA. • Un dirigeant d’audit interne doit considérer si le cadre de contrôle interne des TI assure que les performances de l’organisation demeurent à l’intérieur de la tolérance aux risques établie. Appétence au risque : Degré de risque que la direction d’une organisation est prête à accepter dans la poursuite de ses objectifs. Tolérance au risque : Le dirigeant de l’audit interne doit définir le niveau acceptable de variation du risque pour l’atteinte des objectifs. Il est important d’aligner la tolérance au risque avec l’appétence au risque. 12
  • 13. GTAG1 – Structure de l’audit Risques et contrôles Lorsque les responsables de l’audit interne examinent et évaluent les contrôles des TI, ils doivent se poser plusieurs questions : • Que signifient pour nous les contrôles des SI? • Pourquoi avons-nous besoin des contrôles des SI? • Qui est responsable des contrôles des SI? • Quand convient-il d’appliquer les contrôles des SI? • Où précisément faut-il mettre en place les contrôles des SI? • Comment procéder à des évaluations des contrôles des SI? « J’ai à mon service six honnêtes domestiques. » (Ils m’ont appris tout ce que je sais.) Ils s’appellent Quoi et Pourquoi, Quand et Comment, et Où et Qui. » — Rudyard Kipling, Tiré de « Elephant’s Child » dans « Just So Stories » 13
  • 14. GTAG1 – Structure de l’audit Risques et contrôles Que signifient pour nous les contrôles des SI? Pourquoi avons-nous besoin des contrôles des SI? Qui est responsable des contrôles des SI? 1. Quand convient-il d’appliquer les contrôles des SI? 2. Où précisément faut-il mettre en place les contrôles des SI? Comment procéder à des évaluations des contrôles des SI? 14
  • 15. GTAG1 – Classification des contrôles Risques et contrôles 15
  • 16. Questions – 1 minute Risques et contrôles 16
  • 17. GTAG11 Élaboration d’un plan d’audit des TI (40 pages) 17
  • 18. GTAG11 – Objectifs Élaboration d’un plan d’audit des TI • Le présent GTAG peut aider les responsables de l’audit interne et les auditeurs internes à : – Prendre en compte l’activité générale de l’entreprise et la part des TI dans le support opérationnel – Définir et prendre en compte l’environnement des TI – Identifier le rôle de l’évaluation des risques dans la délimitation de l’univers d’audit interne – Formaliser le plan annuel d’audit des TI 18
  • 19. GTAG11 – Introduction Élaboration d’un plan d’audit des TI • Étant donné que le fonctionnement de l'organisation dépend fortement des TI, il est en effet essentiel que le responsable de l’audit interne et les auditeurs internes sachent comment élaborer un plan d’audit et, pour chaque élément, quelles doivent en être la fréquence, l’étendue et la profondeur. • Le responsable de l’audit interne et les auditeurs internes pourront déterminer les domaines à auditer et la fréquence en se basant sur une cartographie des processus, l'inventaire et la prise en compte de l’environnement des TI et l’évaluation des risques à l’échelle de l’organisation. • Ce GTAG utilise l’exemple d’une organisation fictive pour montrer aux responsables de l’audit interne et aux auditeurs internes comment mettre en œuvre les étapes nécessaires à la délimitation de l’univers d’audit. 19
  • 20. GTAG11 – Actualisation du plan d’audit Élaboration d’un plan d’audit des TI 36% 60 % 20
  • 21. GTAG11 – Processus d’élaboration du plan d’audit TI Élaboration d’un plan d’audit des TI 21
  • 22. GTAG11 – Évaluer le risque – Impact et probabilité Élaboration d’un plan d’audit des TI 22
  • 23. GTAG11 – Évaluer le risque Élaboration d’un plan d’audit des TI 23
  • 24. GTAG11 – Audits visés Élaboration d’un plan d’audit des TI Peu de ressources : Sélectionner des activités d’audit en fonction du carré pointillé. Beaucoup de ressources : Sélectionner des activités d’audit en fonction du carré ligne continu couleur bleu. 24
  • 25. GTAG11 – Cadres de référence Élaboration d’un plan d’audit des TI CobiT V4 • Voir l’annexe 1 du cadre de référence afin d’avoir certains détails ITIL V3 - Conception des services • Pas un cadre d’audit COSO • Pas vraiment pertinent pour un plan d’audit TI ISO 27002 Certaines parties peuvent aider : • 4 - Appréciation et traitement du risque • 15 - Conformité 25
  • 26. Questions – 1 minute Élaboration d’un plan d’audit des TI 26
  • 27. GTAG4 Management de l’audit des systèmes d’information (SI) Management of IT Auditing (24 pages – Nouvelle version janvier 2013) 27
  • 28. GTAG4 – Objectifs Management de l’audit des systèmes d’information (SI) • Déterminer les domaines nécessitant des ressources en audit des SI • Évaluer les risques liés aux SI • Réaliser des travaux d’audit des SI 28
  • 29. GTAG4 – Introduction Management de l’audit des systèmes d’information (SI) Une évaluation annuelle des risques réalisée dans le cadre de l’élaboration du plan d’audit qui ne couvre pas les risques informatiques serait considérée comme déficiente (voir les Normes 1210.A3, 1220.A2 et 2110.A2) : • Un taux important de dispositifs de contrôles internes clés pour l’organisation sont susceptible de reposer sur un système informatisé • Les systèmes défectueux risquent de nuire fortement à la réputation 29
  • 30. GTAG4 – Éléments à considérer Management de l’audit des systèmes d’information (SI) • Stratégie « métier », processus et projets • Infrastructure et processus SI – Tenir compte de chaque niveau du SI • Approche fondée sur les risques liés aux SI (Prioriser) • Univers de l’audit des SI (Optimiser) GTAG #11 • Savoir-faire et compétence (Norme 1210) • Réaliser des missions d’audit des SI (COSO-COBIT) • Rapports • Outils d’audit (Efficacité) 30
  • 31. GTAG4 – Niveaux des SI Management de l’audit des systèmes d’information (SI) Illustration des 4 niveaux 31
  • 32. GTAG4 –Les risques Management de l’audit des systèmes d’information (SI) • Types de risques des SI – Disponibilité : Le système n’est pas disponible pour utilisation – Sécurité : Accès non autorisé au système – Intégrité : Données incomplètes ou inexactes – Confidentialité : L’information n’est pas conservée secrète – Efficacité : Le système ne procure pas une fonction voulue ou attendue – Efficience : Le système entraîne une utilisation sous-optimale des ressources • Natures de risques – Spécifiques vs pervasifs – Statiques vs dynamiques 32
  • 33. GTAG4 – Cadres de référence Management de l’audit des systèmes d’information (SI) CobiT V4 • Pas vraiment d’objectif réellement collé à ce GTAG • L’ensemble du cadre de référence aborde ce GTAG et la gestion de risques ITIL V3 • ITIL n’est pas un référentiel d’audit Les cadres de référence Contrôle interne et Management des risques de l’entreprise • Pas nécessairement axé sur les TI ISO 27002 • Pas vraiment de point touchant ce volet 33
  • 34. Questions – 1 minute Management de l’audit des systèmes d’information (SI) 34
  • 35. GTAG3 Audit continu : Répercussions sur l’assurance, le pilotage et l’évaluation des risques (41 pages) 35
  • 36. GTAG3 – Objectifs Audit continu • Connaissances opportunes sur des problèmes critiques • Automatisation de certains tests • Processus de révision plus efficace 36
  • 39. GTAG3 – Avantages de l’audit continu Audit continu • Évaluation à intervalles rapprochés • Audit permanent de 100 % des transactions • Compréhension accrue des points critiques, des règles et des exceptions • Notification rapide des écarts et des carences • Facilite la planification de l’audit • Indépendance vis-à-vis des SI et du pilotage 39
  • 40. GTAG3 – Inconvénients de l’audit continu Audit continu • L’information à auditer doit provenir de systèmes fiables • Le processus d’audit continu doit être fortement automatisé • Des rapports d’audit continu compréhensibles et précis doivent être élaborés et disponibles rapidement • Les auditeurs doivent posséder les compétences requises pour mener ce type de mission • Changement des paradigmes d’audit traditionnels 40
  • 41. GTAG3 – Phases clés Audit continu • • • • Objectifs de l’audit continu Accès et utilisation des données Évaluation continue des contrôles et des risques Communiquer et gérer les résultats 41
  • 42. GTAG3 – Exemples d’évaluation de contrôles Audit continu Contrôles financiers : Carte de crédit d’entreprise Pilotage • Échantillonnage manuel trimestriel Audit interne • Pilotage faible et risque élevé • Examen de la politique et des procédures • Tests analytiques sur 100 % des transactions • Trouve des anomalies 42
  • 43. GTAG3 – Cadres de référence Audit continu CobiT V4 • Pas vraiment d’objectif réellement collé à ce GTAG • La série SE se rapproche le plus de ce GTAG ITIL V3 • ITIL n’est pas un référentiel d’audit Cadre de référence (Enterprise Risk Management (ERM) Framework) • Environnement de contrôle • Évaluation des risques • Information et communication • Pilotage des risques ISO 27002 • Pas vraiment de point touchant ce volet. La section 15 se rapproche le plus de ce GTAG 43
  • 44. Questions – 1 minute Audit continu 44
  • 45. GTAG16 Analyse des données (28 pages) Juillet 2011 45
  • 46. GTAG16 – Objectifs Analyse de données • Avoir des approches d’audit utilisant les outils d’analyse des données : – L’analyse des données est significative pour l’organisation – Meilleure assurance avec les outils d’analyse des données – Défis et risques d’implantation des outils – Comment implanter les outils d’analyse – Reconnaître les tendances et les avantages d’utiliser les outils 46
  • 47. GTAG16 – Introduction Analyse de données • Définition − L’analyse des données permet d’identifier, obtenir, valider, analyser et interpréter différents types de données à l’intérieur de l’organisation afin d’améliorer l’efficience d’un audit. • Efficience − Les outils d’analyse des données sont une partie intégrante d’un audit TI et permettent d’améliorer l’efficacité et l’efficience d’un audit. 47
  • 48. GTAG16 – Les sources Analyse de données • • • • • • Des données PDF Des tableurs Des fichiers textes Des données provenant des systèmes d’opération AS/400 Les bases de données, dont Access, et les données en format XML Des ajouts au logiciel de base permettent d’interroger les applications SAP • Les serveurs centraux (mainframe) (travail plus complexe) L’intégrité des données source est un critère de base essentiel et non négociable. 48
  • 49. GTAG16 – Comment les outils peuvent t’aider Analyse de données 1. Calcul – Paramètres statistiques (moyennes, déviations, plus hautes et plus basses valeurs) afin d’identifier des transactions étranges. 2. Classer – Trouver des tendances ou des associations parmi des groupes de données. 3. Stratifier – Valeurs numériques afin d’identifier des valeurs non usuelles (excessivement hautes ou basses). 4. Loi de Benford’s – Identifier des occurrences statistiquement improbables. 5. Joindre – Différents types de données sources afin d’identifier des données non assorties telles que le nom, adresse, etc. 6. Dupliquer – Identifier des transactions dupliquées telle que paiements, paies, etc. 7. Écart – Tester une série afin de trouver un bris dans une séquence. 8. Somme – Additionner des données afin de valider des totaux de contrôles. 9. Valider – Des dates afin de trouver des éléments suspicieux. 49
  • 50. GTAG16 – Exemples d’utilisation Analyse de données Section Contrôle Analyse de données Paiement L’application ne permet pas un doublon de paiement. Obtenir les paiements. Valider qu’il n’y a pas de paiement en double (même vendeur, même montant et même numéro de fournisseur). Achat de marchandises Les PO vieux de trois mois et plus ne seront pas traités. Obtenir la liste des PO produits. Déterminer si des PO de 3 mois et plus ont été traités. Achat de marchandises La personne qui crée le PO n’est pas celle qui l’approuve. Obtenir la liste des PO créés. Obtenir la liste des PO approuvés. Comparer les deux concernant la séparation des tâches. Réception de biens Tous les biens reçus sont validés auprès du PO. Obtenir la liste des biens reçus et des PO. Valider que les quantités sont les mêmes. 50
  • 51. GTAG16 – Cadres de référence Analyse de données CobiT V4 • Non pertinent ITIL V3 - Conception des services • Non pertinent COSO • Non pertinent ISO 27002 • Non pertinent 51
  • 52. Questions – 1 minute Analyse de données 52
  • 53. GTAG9 Gestion des identités et des accès (32 pages) 53
  • 54. GTAG9 – Objectifs Gestion des identités et des accès • Comprendre le rôle de la gestion des identités et des accès pour l’organisation et suggérer les points à approfondir lors d’un audit interne. • Même si de nombreux dirigeants estiment que la gestion des identités et des accès relève de la direction des systèmes d’informations (DSI), elle concerne en fait toutes les directions métiers de l’entreprise 54
  • 55. GTAG9 – Introduction Gestion des identités et des accès • Les obligations réglementaires et les pratiques de gestion prudentes ont conduit les organisations à accroître au maximum le degré de granularité des droits d’accès. • Le management doit déterminer avec précision les droits nécessaires aux utilisateurs au lieu de leur accorder des ressources dont ils n’ont pas vraiment besoin. 55
  • 56. GTAG9 – Introduction (suite) Gestion des identités et des accès • D’après un rapport prévisionnel récent du groupe de presse International Data Group (IDG), les dépenses consacrées à la gestion des identités et des accès et aux systèmes connexes devraient augmenter rapidement. – La gestion des identités et des accès devrait donc bientôt figurer au premier rang des projets informatiques de nombreuses organisations. • Dans de nombreuses organisations, la suppression des droits d’accès utilisateurs ou des droits d’accès associés à une identité numérique peut prendre jusqu’à trois ou quatre mois, ce qui peut représenter un risque inacceptable, surtout si l’utilisateur peut encore accéder aux systèmes et ressources de l’entreprise alors qu’il a été révoqué. 56
  • 57. GTAG9 – Requête de changements des droits d’accès Gestion des identités et des accès 57
  • 58. GTAG9 – Cadres de référence Gestion des identités et des accès CobiT V4 • • • • PO4.9 Propriété des données et du système PO6.1 Politique informatique et environnement de contrôle DS5.3 Gestion des identités DS5.4 Gestion des comptes utilisateurs ITIL V3 - Exploitation des services • Gestion des accès COSO’s Internal Control over Financial Reporting - Guidance for Smaller Public Companies • Activité de contrôles – Principe 14 ISO 27002 • 8 Sécurité liée aux ressources humaines • 11 Contrôle d’accès 58
  • 59. Questions – 1 minute Gestion des identités et des accès 59
  • 60. GTAG12 Audit des projets informatiques (46 pages) 60
  • 61. GTAG12 – Objectif Audit des projets informatiques • Ce GTAG a pour objectif d’offrir aux auditeurs internes et à leur responsable une vue d’ensemble des techniques permettant de collaborer efficacement avec les équipes de projet et les instances de pilotage de projet sur l’évaluation des risques liés aux projets TI. • Le champ de la gestion de projet étant extrêmement vaste, l’objectif de ce guide est de définir un cadre d’évaluation des risques liés aux projets, de donner des exemples de risques courants liés à la gestion de projet et d’étudier comment l’audit interne peut participer activement à l’examen des projets sans perdre son indépendance. 61
  • 62. GTAG12 – Objectif Audit des projets informatiques Cinq thèmes centraux de l’audit 62
  • 63. GTAG12 – Introduction Audit des projets informatiques • Au sens courant, un projet est un ensemble d'activités, avec un début et une fin définis, qui est entrepris pour atteindre un objectif donné dans des contraintes précises de calendrier, de contenu et de ressources. • Aujourd’hui, pour déterminer si un projet est un succès, il ne suffit plus de mesurer si les délais et le budget ont été respectés. Les projets qui échouent ou qui sont menacés peuvent avoir un impact considérable sur l'organisation, selon les besoins métiers qui les soustendent. • C’est à la direction générale qu’il incombe de veiller à ce que le projet aboutisse et que les résultats attendus soient atteints. 63
  • 64. GTAG12 – Introduction Audit des projets informatiques Étude CHAOS 64
  • 65. GTAG12 – 10 facteurs de réussite Audit des projets informatiques 1. Participation des utilisateurs – Les utilisateurs des directions métiers et des TI participent aux principaux processus de réalisation d’un consensus, de prise de décision et de collecte d’informations. 2. Soutien de la direction générale – Les dirigeants assurent la cohérence avec la stratégie de l’organisation, ainsi qu’un soutien financier et psychologique et une assistance dans la résolution des conflits. 3. Clarté des objectifs de l’organisation – Les partenaires comprennent l’intérêt intrinsèque du projet et sa cohérence par rapport à la stratégie de l’organisation. 4. Souplesse de l’optimisation – Le projet emploie des processus itératifs de développement et d’optimisation pour éviter les éléments inutiles et s’assurer que les éléments essentiels sont bien intégrés. 5. Maturité psychologique – Le chef de projet gère les émotions et les actions des partenaires du projet et évite certaines attitudes (ambition, arrogance, ignorance, abstention et déloyauté). 6. Connaissance de la gestion de projet – L’organisation fait appel à des chefs de projet qui ont les compétences et connaissent les pratiques de base, par exemple des chefs de projets titulaires de la certification PMP (Project Management Professional) du Project Management Institute. 65
  • 66. GTAG12 – 10 facteurs de réussite Audit des projets informatiques 7. Gestion financière – Le chef de projet est capable de gérer les ressources financières, de justifier le budget ou les dépenses et d’expliquer l’intérêt du projet. 8. Compétences des ressources – Des personnes compétentes sont recrutées, dirigées, retenues et contrôlées afin de pouvoir continuer à avancer en cas de problèmes de personnel, notamment de rotation du personnel. 9. Formalisation de la méthodologie – Il existe un ensemble prédéfini de techniques basées sur les processus qui constituent une feuille de route où sont indiqués les événements qui doivent se produire, quand, comment et dans quel ordre. 10. Outils et infrastructure – L’infrastructure du projet est élaborée et gérée à l’aide d’outils permettant la gestion des tâches, des ressources, des exigences, des changements, des risques, des fournisseurs, de l’adhésion des utilisateurs et de la qualité. 66
  • 67. GTAG12 – Structure d’un projet Audit des projets informatiques 67
  • 68. GTAG12 – Cadres de référence Audit des projets informatiques CobiT V4 • PO10 - Gérer les projets ITIL V3 - Conception des services • Plus orienté gestion des changements que gestion de projets COSO • Pas vraiment pertinent pour la gestion de projets ISO 27002 • Plus orienté opération et sécurité que gestion de projets • 12 - Acquisition, développement et maintenance des systèmes d’information 68
  • 69. Questions – 1 minute Audit des projets informatiques 69
  • 70. Retour dans 15 minutes 70
  • 71. GTAG2 (2e édition) Contrôles de la gestion du changement et des patchs : Un facteur clé de réussite pour toute organisation (34 pages) 71
  • 72. GTAG2 – Objectifs Contrôles de la gestion du changement et des patchs • Acquérir une connaissance opérationnelle des processus de gestion des changements informatiques. • Distinguer rapidement les bons processus de gestion des changements de ceux qui sont inefficaces. • Reconnaître rapidement les indicateurs et signaux d’alerte pointant une défaillance des contrôles liés à la gestion des changements. • Prendre conscience que l’efficacité de la gestion des changements repose sur la mise en place de contrôles préventifs, détectifs et correctifs qui assurent la séparation des fonctions et la supervision appropriée du management. • Recommander les meilleures pratiques connues pour remédier aux défaillances afin de vérifier que les risques sont maîtrisés (et que les contrôles sont bien effectués) et d’accroître l’efficacité et l’efficience. 72
  • 73. GTAG2 – Introduction Contrôles de la gestion du changement et des patchs • Faire passer plus efficacement vos recommandations auprès de votre directeur des systèmes d’information, de votre directeur général ou de votre directeur financier. • La gestion des changements est l’une des disciplines les plus difficiles à mettre en œuvre. Elle nécessite une collaboration entre une équipe pluridisciplinaire composée de développeurs d’application, de personnel de l’exploitation informatique et d’utilisateurs. • Posséder une culture de gestion des changements qui empêche et dissuade de procéder à des changements non autorisés est une condition essentielle à une gestion efficace des changements. 73
  • 74. GTAG2 – Introduction Contrôles de la gestion du changement et des patchs Bénéfices d’une saine gestion des changements • Consacrer moins de temps et d’énergie dans les SI pour des interventions non planifiées. • Consacrer davantage d’argent et d’énergie dans les SI pour exécuter de nouvelles tâches et atteindre les objectifs de l’entreprise. • Connaître moins de périodes d’indisponibilité. • Être plus focalisé sur les améliorations que sur les réparations en urgence. • Concerter les efforts sur les priorités du métier de l’entreprise. • Motiver le personnel SI (participer à l’amélioration des opérations plutôt que d’éteindre des feux) • Satisfaire les besoins des utilisateurs finaux. 74
  • 75. GTAG2 – Indicateurs d’une mauvaise gestion des changements Contrôles de la gestion du changement et des patchs • Changements non autorisés • Interruptions de service non prévues • Faible taux de réussite du changement • Nombre élevé de changements en urgence • Retard dans les déploiements de projets 75
  • 76. GTAG2 – Tâches non planifiées Contrôles de la gestion du changement et des patchs La limitation des tâches non planifiées est un indicateur d’un processus efficace de gestion des changements. On ne peut évaluer ce que l’on ne mesure pas … 76
  • 77. GTAG2 – Variables clés influençant les processus de gestion des changements Contrôles de la gestion du changement et des patchs Par le taux de changements, le taux de réussite du changement, la durée moyenne de reprise (MMTR) 77
  • 78. GTAG2 – Cadres de référence Contrôles de la gestion du changement et des patchs CobiT V4 • AI 6 Gérer les changements • AI7 Acquérir et implémenter ITIL V3 • Transition des services / Gestion des changements Internal Control over Financial Reporting – Guidance for Smaller Public Companies • Gestion des changements ISO 27002 • 12 Acquisition, développement et maintenance des systèmes d’information • 12.5.1 Procédures de contrôle des modifications 78
  • 79. Questions – 1 minute Contrôles de la gestion du changement et des patchs 79
  • 80. GTAG14 Auditer les applications développées par les utilisateurs (ADU) (32 pages) 80
  • 81. GTAG14 – Objectifs Auditer les applications développées par les utilisateurs (ADU) • Identifier la disponibilité d’un cadre de contrôle qui comprend une politique, les procédures, l’inventaire et l’évaluation des risques à l’égard des applications internes. • Utiliser le cadre de contrôle défini au point 1 afin de définir la population des applications internes à être incluses dans l’audit TI. 81
  • 82. GTAG14 – Objectifs Auditer les applications développées par les utilisateurs (ADU) Aider la direction à développer un cadre de contrôle des applications internes efficient : • Utiliser des techniques éprouvées afin d’identifier la population des applications internes. • Évaluer les risques associés à chaque application interne, basés sur le potentiel d’impact et la probabilité qu’une occurrence se produise. 82
  • 83. GTAG14 – Introduction Auditer les applications développées par les utilisateurs (ADU) • Définition − Règle générale, ce sont des applications internes comme des tableurs Excel ou des petites applications comme Access créées et utilisées par les utilisateurs finaux. • Bénéfice − La plupart des organisations utilisent ce type d’applications parce qu’elles sont faciles et moins coûteuses à développer et à maintenir, en plus de permettre de contourner les contrôles généraux des TI pour en faciliter et en accélérer l’implantation. • Risque − Le contournement des contrôles généraux des TI pose un risque de confidentialité, d’intégrité et de disponibilité des données extraites, calculées, triées et compilées par ce type d’application. 83
  • 84. GTAG14 – Les risques Auditer les applications développées par les utilisateurs (ADU) • Manque de structure à l’égard du développement, de la gestion des changements ou de la gestion des versions • Entreposage et gestion de l’importation des données • Manque d’expérience de la personne qui développe l’application • Manque de documentation • Insuffisance des contrôles touchant l’entrée et la sortie de données • Tests insuffisants Est-ce que la personne qui a développé l’application interne a les connaissances et l’expérience pour gérer les risques liés aux applications internes? 84
  • 85. GTAG14 – Les bonnes pratiques Auditer les applications développées par les utilisateurs (ADU) • • • • • • Contrôles d’accès Contrôles des données sources Contrôles des données sortantes (résultats) Contrôles à l’égard de la gestion des changements Gestion des archives, sauvegardes et versions Documentation (politiques, procédures, guides) Les contrôles à l’égard des applications internes sont très similaires aux contrôles généraux TI. 85
  • 86. GTAG14 – Définir le périmètre d’audit Auditer les applications développées par les utilisateurs (ADU) • Définir la notion d’ADU clé • Recenser la population d’ADU • Établir les facteurs de risques • Classification au risque des ADU 86
  • 87. GTAG14 – Définir la stratégie d’audit Auditer les applications développées par les utilisateurs (ADU) Deux scénarios 1. Le cadre de contrôle est efficace – Tester les contrôles – Effectuer un test d’acheminement 2. Le cadre de contrôle est inefficace – Recommander la mise en place de contrôles – Réexécution du traitement • Sur base d’échantillon • Sur le traitement intégral de l’ADU en procédant par technique d’audit assisté par ordinateur (TAAO) 87
  • 88. GTAG14 – Cadres de référence Auditer les applications développées par les utilisateurs (ADU) CobiT V4 • PO6.2 Cadre de référence des contrôles et risques informatiques • AI2.4 Sécurité et disponibilité des applications • AI2.7 Développement d’applications ITIL V3 - Conception des services • Pas un cadre spécifique aux applications internes COSO • De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et 52-109 ISO 27002 • 12 Acquisition, développement et maintenance des systèmes d’information • 11 Contrôles d’accès • 5 Politique de sécurité 88
  • 89. Questions – 1 minute Auditer les applications développées par les utilisateurs (ADU) 89
  • 90. GTAG8 Audit des contrôles applicatifs (32 pages) 90
  • 91. GTAG8 – Objectifs Contrôles applicatifs • Informer sur les aspects suivants : – Définition et avantages des contrôles applicatifs – Rôle des auditeurs internes – Exécution d’une évaluation des risques – Délimitation de l’étendue de la revue des contrôles applicatifs – Approches de la revue des applications et autres considérations • Comprendre la différence entre les contrôles applicatifs et les contrôles généraux informatiques (CGTI) 91
  • 92. GTAG8 – Introduction Contrôles applicatifs • Définition des contrôles applicatifs – Les données d’entrée sont exactes, complètes, autorisées et correctes. – Les données sont traitées conformément aux objectifs et dans un délai acceptable – Les données stockées sont exactes et complètes – Les données de sortie sont exactes et complètes. – Un enregistrement du processus est conservé. 92
  • 93. GTAG8 – CGTI versus Contrôles applicatifs Contrôles applicatifs • Les CGTI s’appliquent à tous les composants, processus et données des systèmes d’un organisation. • Les contrôles applicatifs s’appliquent aux transactions et aux données relatives à chaque système d’application. • Les CGTI doivent fonctionner efficacement pour que les contrôles applicatifs puissent gérer le risque. 93
  • 94. GTAG8 – Pondération du risque Contrôles applicatifs 94
  • 95. GTAG8 – «Évidence Contrôles applicatifs On ne peut vérifier ce que l’on ne comprend pas … Il est essentiel de comprendre les fonctionnalités et processus entourant les contrôles applicatifs avant de commencer l’audit. 95
  • 96. GTAG8 – Audit des contrôles applicatifs Contrôles applicatifs • Évaluation du risque • Détermination de l’étendue de la revue en fonction de la méthode du processus d’entreprise ou en fonction de la méthode de l’application unique • Examen des contrôles d’accès • Élaboration du plan de travail • Élaboration du programme d’examen détaillé • Évaluation du besoin en ressource spécialisée • Réalisation du mandat (tests, documentation et résultats ) • Communication des résultats 96
  • 97. GTAG8 – Cadres de référence Contrôles applicatifs CobiT V4 • Aucun objectif précis, mais l’ensemble du cadre peut devenir un outil essentiel ITIL V3 • Ne s’applique pas vraiment dans le cadre de ce GTAG COSO’s Internal Control over Financial Reporting - Guidance for Smaller Public Companies • Cadre descriptif assez complet touchant la question ISO 27002 • Pas de section particulière 97
  • 98. Questions – 1 minute Contrôles applicatifs 98
  • 99. GTAG13 Prévention et détection de la fraude dans un contexte automatisé (35 pages) 99
  • 100. GTAG13 – Objectifs Prévention et détection de la fraude • Ce guide se veut un complément au guide pratique de l’IIA sur l’audit interne et la fraude. Il vise à informer et à guider les directeurs de l’audit interne et les auditeurs internes sur la façon d’utiliser la technologie pour aider à prévenir la fraude, la détecter et y réagir. • Les principales thématiques portent sur les risques de fraude liée aux systèmes de TI, l’évaluation de ces risques et la manière dont la technologie peut aider les auditeurs internes et les autres parties prenantes au sein de l’organisation à composer avec la fraude et les risques de fraude. 100
  • 101. GTAG13 – Introduction Prévention et détection de la fraude • Définition − « Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et des organisations afin d’obtenir de l’argent, des biens ou des services, ou de s’assurer un avantage personnel ou commercial ». • Norme IIA 1210.A2 − Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l’expertise d’une personne dont la responsabilité première est la détection et l’investigation des fraudes. • Norme IIA 2060 − Rapports au conseil et à la direction générale − Le responsable de l’audit interne doit rendre compte périodiquement à la direction générale et au conseil des missions, des pouvoirs et des responsabilités de l’audit interne, ainsi que du degré de réalisation du plan d’audit. 101
  • 102. GTAG13 – Politique d’enquête sur les fraudes Prévention et détection de la fraude Ce que doit comprendre une politique d’enquête sur les fraudes • • • • • • • Quand et comment entreprendre une enquête sur fraude Les documents nécessaires pour faire une enquête sur fraude Comment choisir les membres de l’équipe d’enquête La marche à suivre pour ajouter des experts à l’équipe Comment évaluer et atténuer le risque lié aux contrôles internes Quand et comment confier l’enquête à l’échelon supérieur Comment assurer la cohérence et l’uniformité, de manière à ce que toutes les infractions soient traitées de la même façon • Des directives sur l’étape jusqu’à laquelle l’organisation est prête à pousser l’enquête • Les voies de communication à utiliser avant, pendant et après l’enquête • Des directives sur l’ampleur des mesures correctives à déployer 102
  • 103. GTAG13 – Évaluation des manœuvres frauduleuses Prévention et détection de la fraude Voici deux méthodes pour évaluer le potentiel de manœuvres frauduleuses du point de vue du fraudeur : 1. 2. Méthode axée sur la faiblesse des contrôles − On évalue le potentiel de fraude en examinant les contrôles clés pour voir qui pourrait profiter d’une faiblesse dans les contrôles et de quelle manière un fraudeur pourrait contourner un contrôle déficient. Méthode axée sur les champs clés − On évalue le potentiel de fraude en examinant les données saisies, quels champs peuvent être manipulés (et par qui) et quelles seraient les conséquences. 103
  • 104. GTAG13 – Grille d’évaluation du risque Prévention et détection de la fraude Propriétaire d’entreprise TI — DSI Risques de fraude Contrôles Des contrôles physiques insuffisants du matériel de TI donnent lieu à des changements, à la destruction ou à l’utilisation illicite du matériel à des fins d’enrichissement personnel. (Sécurité physique) • Matériel informatique critique situé dans des centres de données sécurisés • Accès restreint aux centres de données selon les responsabilités • Utilisation de dispositifs de sécurité variés (p. ex., carte d’accès, surveillance par caméra en circuit fermé, gardiens de sécurité) • Politiques et procédures consignées par écrit • Maintien d’un registre des visiteurs • Utilisation de câbles de sécurité pour les ordinateurs portables • Inventaire trimestriel des postes de travail • Méthodes d’approvisionnement officielles Prévention ou détection Les deux Surveillance Probabilité Incidence • Gestion du centre de données • Prévention des pertes • Gestion des risques liés aux TI • Opérations TI • Surveillance quotidienne des registres de visiteurs par les gestionnaires • Inventaires périodiques effectués par la gestion de l’actif • Rapprochement des comptes d’approvisionnement • Audit interne Faible Élevée 104
  • 105. GTAG13 – Acquisitions Prévention et détection de la fraude L’importance de l’acquisition des données : • Assurance de l’intégrité des données − Un professionnel chevronné doit copier les données du disque dur suspect vers un disque dur de l’auditeur. • La chaîne de preuves − Des outils spécialisés assurent que les données n’ont pas été modifiées lors du transfert des données. • L’organisation de la preuve − Des procédures claires et bien exécutées permettent d’avoir l’assurance que la chaîne de preuves n’a pas été brisée. 105
  • 106. GTAG13 – Détection des fraudes par l’analyse des données (IDEA et ACL) Prévention et détection de la fraude Types de tests de fraude : Des exemples Types de fraude Tests servant à découvrir la fraude Ventes fictives Chercher les adresses de boîtes aux lettres : Faire un croisement entre l’adresse des fournisseurs et des employés. Faire attention aux fournisseurs dont les informations sont similaires, avec mêmes adresses et numéros de téléphone. Paiements en double Chercher les factures avec les mêmes numéros. Chercher les factures dont les montants à payer sont identiques. Vérifier les demandes récurrentes pour le remboursement des factures payées deux fois. Paie à un employé ayant quitté l’entreprise Comparer la date de départ des employés avec la liste des chèques de paie. Parcourir la liste des employés sur le registre de la paie. 106
  • 107. GTAG13 – Utilisation de la technologie dans la prévention et la détection de la fraude Prévention et détection de la fraude • Outils − Ex. : EnCase ou FTK • Spécialisation − Les auditeurs internes, règle générale, n’ont pas ce type d’expertise. Des experts externes sont souvent utilisés. • Expertise judiciaire − Un processus comprenant la conservation, l’identification, l’extraction et la documentation de matériel et de données informatiques à des fins de preuve et d’analyse des causes profondes. Voici des exemples d’activités liées à l’expertise judiciaire en informatique : – Récupération de courriels supprimés; – Surveillance du courrier électronique en vue de détecter des indices de fraude; – Enquête suivant une cessation d’emploi; – Récupération de preuves suivant le formatage d’un disque dur. 107
  • 108. GTAG13 – Utilisation de la technologie dans la prévention et la détection de la fraude Prévention et détection de la fraude • L’expertise judiciaire en informatique − Elle permet d’établir et de maintenir une chaîne de possession continue, laquelle est essentielle pour déterminer l’admissibilité d’un élément de preuve devant les tribunaux. • Expertise de l’auditeur interne − Bien qu’on ne s’attende pas à ce que les directeurs de l’audit interne et les auditeurs internes soient des experts en la matière, les directeurs de l’audit interne doivent avoir une compréhension générale des avantages que procure cette technologie afin de pouvoir recruter, au besoin, des experts compétents pour collaborer à une enquête sur fraude. 108
  • 109. GTAG13 – Cadres de référence Prévention et détection de la fraude CobiT V4 • Pas vraiment axé sur la fraude ITIL V3 - Conception des services • Pas vraiment axé sur la fraude COSO • Sujet abordé de façon générale et en lien avec le reporting financier ISO 27002 • Aucune section spécifique sur la fraude, l’ensemble du document traite de façon générale de la fraude 109
  • 110. Questions – 1 minute Prévention et détection de la fraude 110
  • 111. GTAG15 Gouvernance de la sécurité de l’information (GSI) (28 pages) 111
  • 112. GTAG15 – Objectifs Gouvernance de la sécurité Ce guide fournit une réflexion et une approche aux responsables de la vérification interne TI afin que le plan d’audit TI incorpore des mesures touchant la gouvernance de la sécurité de l’information TI (attitudes, pratiques, etc.) : • Identifier et définir les mesures de gouvernance à l’égard de la sécurité de l’information. • Aider les auditeurs internes TI afin ceux-ci posent les bonnes questions et connaissent quels types de documents sont requis. • Décrire le rôle de l’auditeur interne TI à l’égard de la gouvernance de la sécurité de l’information. 112
  • 113. GTAG15 – Introduction Gouvernance de la sécurité • Définition − La gouvernance de la sécurité de l’information consiste au leadership, à la structure organisationnelle et aux processus qui assurent que le système d’information de l’entreprise supporte les stratégies et les objectifs de l’organisation. • Gouvernance − Les TI ne sont pas les seules dépositaires de la gouvernance de la sécurité de l’information, mais en termes d’impact, elles devraient être la première place à investiguer. • Compréhension − Dépendant des entreprises, la compréhension d’une bonne gouvernance de la sécurité de l’information peut être très différente. 113
  • 114. GTAG15 – Introduction Gouvernance de la sécurité Information Security Governance Triangle 114
  • 115. GTAG15 – Responsabilités Gouvernance de la sécurité Le conseil d’administration donne le ton en ce qui a trait à la gouvernance de la sécurité de l’information. 115
  • 116. GTAG15 – Risques Gouvernance de la sécurité • • • • • Non-respect des différentes réglementations Atteinte à la réputation de l’entreprise Perte de compétitivité Données incomplètes ou inexactes Augmentation du risque de fraude Il est important pour l’auditeur interne IT de comprendre le niveau d’appétence du risque de l’organisation et du conseil d’administration. 116
  • 117. GTAG15 – Auditeur TI Gouvernance de la sécurité Afin de performer un audit touchant la gouvernance de la sécurité de l’information, l’auditeur TI doit être : • • • • Très expérimenté et aguerri; À l’aise avec les concepts de gouvernance; En mesure d’évaluer les risques internes et externes; À l’aise pour communiquer avec la direction et la haute direction. La direction de l’audit interne doit être impliquée dans ce type d’audit. L’auditeur TI doit être une personne ayant une vision large des enjeux de sécurité, de gestion et de gouvernance dans un cadre global. 117
  • 118. GTAG15 – Cadres de référence Gouvernance de la sécurité CobiT V4 • L’ensemble de la famille PO - Planifier et organiser ITIL V3 - Conception des services • La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant la gouvernance COSO • De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et 52-109 ISO 27002 • Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type d’audit 118
  • 119. Questions – 1 minute Gouvernance de la sécurité 119
  • 120. GTAG17 Audit de la gouvernance TI (24 pages) 120
  • 121. GTAG17 – Objectifs Audit de la gouvernance TI But du guide − Permettre à l’équipe d’audit interne de respecter la norme 2110 de l’IIA. 121
  • 122. GTAG17 – Introduction Audit de la gouvernance TI Ce guide fournit une réflexion et une approche aux responsables de la vérification interne TI afin que le plan d’audit TI incorpore des mesures touchant la gouvernance des technologies de l’information afin de : • identifier et définir les processus et structures implantés par le CA pour informer, • diriger, • gérer, • surveiller (monitoring) les activités de l’organisation afin de respecter les objectifs organisationnels définis par le CA. Le conseil d’administration (CA) est l’ultime entité responsable de l’atteinte des objectifs organisationnels. 122
  • 123. GTAG17 – Introduction Audit de la gouvernance TI 123
  • 124. GTAG17 – Introduction Audit de la gouvernance TI Les cinq composantes touchant la gouvernance TI 124
  • 125. GTAG17 – Organisation et structure de gouvernance Audit de la gouvernance TI • Imputabilité • Communication • La structure de gouvernance doit être alignée avec la structure organisationnelle • Implication des managers TI dans les décisions stratégiques • Place des TI dans l’organisation • Définition des rôles et responsabilités 125
  • 126. GTAG17 – Support et leadership Audit de la gouvernance TI • Vision claire de la haute direction • Communication claire à l’égard des objectifs TI (ex. : ROI) • Les TI doivent être vues comme un élément stratégique, pas juste un coût • Plan stratégique qui oriente les actions TI • Rôles et responsabilités du dirigeant TI senior (CIO) • CIO impliqué dans l’équipe de direction 126
  • 127. GTAG17 – Planification stratégique et opérationnelle Audit de la gouvernance TI • Gouvernance TI en lien avec le plan stratégique • CIO responsable du plan tactique aligné sur plan stratégique • Plan tactique = Comment accomplir les objectifs définis et comment mesurer leurs atteintes • Les TI doivent mesurer comment elles contribuent à l’atteinte du plan stratégique • Les TI doivent être perçues comme un partenaire stratégique dans l’atteinte des objectifs organisationnels • Notion de valeur à l’égard des investissements TI (ROI) 127
  • 128. GTAG17 – Livrables et métriques Audit de la gouvernance TI • Modèle financier et métriques TI • Utilisation de données justes • Compilation de données pertinentes • Évaluation quantitative et qualitative • Satisfaction des parties prenantes fait partie des métriques • Système de coûts adéquat et pertinent • Comparaison (benchmark) avec d’autres organisations comparables 128
  • 129. GTAG17 – Organisation TI et gestion du risque Audit de la gouvernance TI • Succès TI en lien avec le leadership de la haute direction et du CA • Gestion des risques adéquate (humain, technique, etc.) • Niveau de maturité des processus TI • Niveau de complexité des opérations, applications, etc. • Niveau de normalisation des différents processus • Organisation des TI • Niveau d’expertise et d’expérience 129
  • 130. GTAG17 – Cadres de référence Audit de la gouvernance TI CobiT V4 • L’ensemble de la famille PO - Planifier et organiser ITIL V3 - Conception des services • La famille « Définition stratégique » pourrait aider à comprendre certains volets touchant la gouvernance COSO • De façon générale, c’est un sujet important dans le cadre d’un audit de conformité SOX et 52-109 ISO 27002 • Cadre davantage opérationnel que de gouvernance. Pas vraiment approprié pour ce type d’audit 130
  • 131. Questions – 1 minute Audit de la gouvernance TI 131
  • 132. GTAG10 Gestion de la continuité d’activité (48 pages) 132
  • 133. GTAG10 – Objectifs Gestion de la continuité d’activité • Le présent guide décrit les connaissances dont doivent disposer les membres des organes de direction, l’encadrement et les auditeurs internes pour appréhender l’efficacité des dispositifs de reprise d’activité et leur impact sur l’entreprise. • Ce GTAG a été rédigé en tenant compte du point de vue du responsable de l’audit interne. Ce dernier a la tâche difficile de sensibiliser les chefs d’entreprise aux risques, aux contrôles, aux coûts et aux avantages liés à l’adoption d’un programme de gestion de la continuité. « One of the true tests of leadership is the ability to recognize a problem before it becomes an emergency. » - Arnold H. Glasgow 133
  • 134. GTAG10 – Introduction Gestion de la continuité d’activité • Il appartient au responsable de l’audit interne de signaler les carences de la gestion de la continuité à la direction et au comité d’audit. • La gestion de la continuité d’activité est le processus par lequel une organisation se prépare à des incidents futurs qui pourraient menacer sa mission principale et sa viabilité à long terme. • Ces incidents peuvent être des événements locaux (ex. : l’incendie d’un bâtiment, régionaux (ex. : un séisme) ou nationaux (ex. : une pandémie). 134
  • 135. GTAG10 – Questions clés Gestion de la continuité d’activité Trois questions simples, mais fondamentales, concernant la continuité d’activité : 1. La direction de l’organisation comprend-elle bien le niveau actuel de risque de non-continuité d’activité, ainsi que l’impact potentiel de tel ou tel degré probable d’interruption des opérations? 2. L’organisation peut-elle démontrer que les risques de non-continuité de l’activité sont ramenés à un niveau acceptable aux yeux de la direction et font périodiquement l’objet d’une nouvelle évaluation? 3. Si le risque de non-continuité de l’activité est inacceptable, mais que l’encadrement a décidé de l’assumer, les actionnaires, les partenaires commerciaux et autres acteurs sont-ils au courant de cette décision de ne pas réduire le risque? Cette décision d’accepter le risque est-elle correctement documentée? Si la réponse à l’une de ces questions est « non », le présent guide sera sûrement très utile! 135
  • 136. GTAG10 – Gestion des situations d’urgence Gestion de la continuité d’activité 136
  • 137. GTAG10 – Catastrophes naturelles Gestion de la continuité d’activité 137
  • 138. GTAG10 – Diagramme de réalisation d’un plan de continuité des affaires Gestion de la continuité d’activité 138
  • 139. GTAG10 – Comprendre la DMIA et le DPMA Gestion de la continuité d’activité 139
  • 140. GTAG10 – Cadres de référence Gestion de la continuité d’activité CobiT V4 • DS4 Assurer un service continu ITIL V3 - Conception des services • Gestion de la continuité COSO • N’est pas un enjeu dans le monde de COSO ISO 27002 • 14 Gestion du plan de continuité de l’activité 140
  • 141. Questions – 1 minute Gestion de la continuité d’activité 141
  • 143. GTAG7 – Objectifs Infogérance • Qu’est-ce que le service d’audit interne doit prendre en compte • Les différents types d’infogérance • Comprendre le cycle de vie et les modalités 143
  • 144. GTAG7 – Introduction Infogérance • L’infogérance est souvent définie comme le recours à des prestataires de services ou des fournisseurs afin qu’ils créent, maintiennent ou réorganisent l’architecture et les systèmes informatiques d’une entreprise. • Ne pas impartir : – la gouvernance des SI; – la gestion du portefeuille d’investissements informatiques; – la gestion des contrats. • L’entreprise reste vulnérable aux risques informatiques. • Les auditeurs internes jouent un rôle proactif dans la supervision de la performance. 144
  • 145. GTAG7 – Types d’infogérance Infogérance • La tierce maintenance applicative • La gestion des infrastructures • Le soutien technique • Les services indépendants de tests et de validation • La gestion des centres de traitement de données • L’intégration de système • L’hébergement et la maintenance des sites Web • Les services de sécurité gérés • L’informatique dans les nuages 145
  • 146. GTAG7 – Cycle de vie : Risques et contrôles Infogérance • • • • • • • Stratégie et évaluation de tierces parties Processus de décision et analyse de rentabilité Processus d’appel d’offres et contrats Implémentation et transition Surveillance et rapport Renégociation Réversibilité 146
  • 147. GTAG7 – Efficacité du prestataire Infogérance • Compréhension de l’étendue de la prestation • Domaines d’architectures • Modèle de gouvernance utilité par le prestataire (silo ou fonction) • Contrôles généraux TI • Composantes de la gestion du service TI • Audit interne 147
  • 148. GTAG7 – Cadres de référence Infogérance CobiT V4 • • • • • SE2 Surveiller et évaluer le contrôle interne SE3 S’assurer de la conformité aux exigences externes DS2 Gérer les services tiers DS5 Assurer la sécurité des systèmes AI5 Acquérir des ressources informatiques ITIL V3 • Ne s’applique pas vraiment dans le cadre de ce GTAG La gestion des risques de l’entreprise – Cadre de référence • Cadre général ISO 27002 • • • • • 6.2 Tiers 6.2.1 Identification des risques provenant des tiers 6.2.2 La sécurité et les clients 6.2.3 La sécurité dans les accords conclus avec des tiers 8.1.1 Rôles et responsabilités 148
  • 149. GTAG7 – Références autres Infogérance NCMC 3416 • La présente NCMC porte essentiellement sur les contrôles d'une société de services qui sont susceptibles d'être pertinents pour le contrôle interne de l'information financière des entités utilisatrices SSAE 16 • L’équivalent du NCMC 3416 du côté américain 149
  • 150. Questions – 1 minute Infogérance 150
  • 151. GTAG5 Le management et l’audit des risques d’atteinte à la vie privée (43 pages) 151
  • 152. GTAG5 – Objectifs Vie privée Les défenseurs de la vie privée ont voulu que chaque citoyen : • Puisse maîtriser qui détient des informations sur eux ainsi que le type d'information personnelle détenue • Puisse maîtriser l'usage qui est fait de cette information 152
  • 153. GTAG5 – Introduction Vie privée La protection des renseignements personnels a plusieurs formes, dépendant des juridictions : • Au Québec pour les organismes publics − Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, et Règlement sur la diffusion de l'information et sur la protection des renseignements personnels • Au Québec pour les organismes privés − Loi sur la protection des renseignements personnels dans le secteur privé • Au Canada pour les organismes publics − Loi Fédérale sur la protection des données • Il faut porter attention aux lois des différents pays, chaque pays ayant ses propres lois 153
  • 154. GTAG5 – Risques liés à vie privée Vie privée • Risque de nuire à l'image l'organisation • Perte financière ou d’investisseurs potentiels • Sanctions règlementaires • Accusation de pratiques déloyales • Perte de confiance auprès des clients, des citoyen ou des employés • Perte de clients et de revenus • Relation d’affaires ternies 154
  • 155. GTAG5 – Avantages d’un audit de la vie privée Vie privée • Faciliter la conformité aux lois et règlements • Mesurer et aider à améliorer la conformité de la protection des données • Identifier les différence entre les politiques et la pratique • Augmenter le niveau de sensibilisation à la protection des données entre la direction et le personnel • Donner de l’assurance sur le risque de réputation • Améliorer les procédures pour répondre aux plaintes de confidentialité 155
  • 156. GTAG5 – Exemples impactant l’audit Vie privée • Changements dans les lois et règlements • Information gérée par les tiers ou dans l’informatique dans les nuages • Maturité des politiques, procédure et pratiques de confidentialité • Nouvelles technologies utilisées 156
  • 157. GTAG5 – Audit de la protection de la vie privée Vie privée • • • Évaluation des • risques Risques juridiques et organisationnels Risques liés à l’infrastructure Risques liés aux applications Risques liés aux processus opérationnels • • • Préparation de • la mission • Évaluation de la protection de la vie privée Comprendre le traitement des données personnelles Repérer les menaces Identifier les contrôles et les contre-mesures Classement par ordre de priorité Évaluation • • • • Évaluer le dispositif de protection des données Évaluer les vulnérabilités et faire des tests d’intrusion Tests des contrôles physiques Test d’ingénierie social • Consulter le conseiller juridique sur les violations potentielles • Émettre le rapport Communiquer • Faire le suivi des recommandations les résultats 157
  • 158. GTAG5 – Les 12 questions Vie privée 1. 2. 3. 4. 5. 6. Est-ce que l’organisation a un conseil d’administration en place pour traiter du niveau de risque acceptable face à la vie privée? Quel est le niveau de risque acceptable pour la direction? À quelles législation et réglementation l’organisation est-elle soumise en matière de protection de la vie privée? Quelles sont les informations à caractère personnel que collecte l’organisation? L’organisation s’est-elle dotée de politiques et de procédures pour la collecte, l’utilisation, la conservation, la destruction et la divulgation des informations personnelles? L’organisation a-t-elle désigné un responsable pour la gestion de son dispositif de protection de la vie privée? 158
  • 159. GTAG5 – Les 12 questions (suite) Vie privée 7. L’organisation sait-elle où sont stockées toutes les données personnelles? 8. Comment sont protégées les informations personnelles? 9. Les salariés sont-ils correctement sensibilisés et formés par rapport à la protection des données personnelles? 10. L’organisation dispose-t-elle des ressources adéquates pour élaborer, mettre en œuvre et actualiser un programme? 11. L’organisation procède-t-elle à une évaluation périodique de la mise en application de ses politiques et procédures de protection de la vie privée? 12. Certaines informations personnelles sont-elles communiquées à des tiers? 159
  • 160. GTAG5 – Cadres de référence Vie privée CobiT V4 • • • • • DS5 Assurer la sécurité des systèmes SE3 S’assurer de la conformité aux obligations externes PO2.3 Système de classification des données PO7 Gérer les ressources humaines de l'informatique DS11.4 Mise au rebut ITIL V3 • ITIL n’est pas un référentiel d’audit. Ce sujet n’est pas abordé par ce référentiel La gestion des risques de l’entreprise – Cadre de référence • Cadre général ISO 27002 • Section 6 Organisation de la sécurité de l’information 160
  • 162. Mot de la fin Gilles Savard 514 954-4624 Savard.Gilles@rcgt.com Olivier Legault 514 954-4685 Legault.Olivier@rcgt.com Francis LeBlanc-Gervais 514 390-4137 LeBlanc-Gervais.Francis@rcgt.com 162